Какое корректное поведение API при пустом теле запроса по умолчанию?

Question

[Сергей]

Коллеги, подскажите, как должно себя вести публичное API, если в требованиях указывается, что оно принимает пустое тело запроса, а ему присылают запрос с данными.
Интересуют варианты "по учебнику" и по факту.
Должно ли API игнорировать данные или он должен реагировать ошибкой?

Comments

[Максим Федоров]

чисте теоретически запрос можно делать без тела, если для ЗАПРОСА этого достаточно
не будете же вы туда вставлять что-то, что не нужно ЗАПРОСУ (то есть когда запрашиваете), а вставляете для какого-то правила "чтобы запрос не был пустым"

Что и для чего — ответьте себе, вот и вся теория

Answer 1

[Василий Банников]

Если по спецификации запрос должен быть без тела, но клиент посылает что-то в теле, то стоит кидать 400 Bad Request

Comments

[Сергей]

Василий, я тоже к этому варианту склонялся. Хотелось бы обосновать аналитику каким-то негативным примером данного поведения.

[Сергей]

Хотя, если два раза пепречитать ваш ответ, то тут не особо нужно обоснование. Логика на поверхности.
Может быть есть пример проблем с безопасностью из-за обратного поведения?

[Василий Банников]

Сергей, из-за обратного - например могут эксплуатировать какую-нибудь неизвестную уязвимость, или просто тратить трафик