给出rest风格资源的示例:

带有一堆图书信息的POST /books可能会创建一本新书，并响应标识该图书的新URL: /books/5。

PUT /books/5必须创建一个ID为5的新书，或者用ID 5替换现有的书。

在非资源风格中，POST可以用于几乎任何具有副作用的事情。另一个区别是PUT应该是幂等的:同一个数据的多个PUT到同一个URL应该没问题，而多个POST可能会创建多个对象或POST操作所做的任何事情。

值得一提的是，POST容易受到一些常见的跨站请求伪造(CSRF)攻击，而PUT则不会。

当受害者访问attackersite.com时，下面的CSRF是不可能的。

攻击的效果是，受害者无意中删除一个用户，只是因为它(受害者)在访问attackersite.com之前以admin身份登录target.site.com:

attackersite.com上的恶意代码:

案例1:正常请求。保存的target.site.com cookie将自动由浏览器发送:(注意:只支持PUT，在端点，是更安全的，因为它是不支持<form>属性值)

<!--deletes user with id 5-->
<form id="myform" method="post" action="http://target.site.com/deleteUser" >
    <input type="hidden" name="userId" value="5">
</form>
<script>document.createElement('form').submit.call(document.getElementById('myform'));</script>

案例2:XHR请求。保存的target.site.com cookie将被浏览器自动发送:(注意:只支持PUT，在端点，是更安全的，因为尝试发送PUT将触发一个preflight请求，其响应将阻止浏览器请求deleteUser页面)

//deletes user with id 5
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://target.site.com/deleteUser");
xhr.withCredentials=true;
xhr.send(["userId=5"]);

MDN Ref: [..]与“简单请求”(上面讨论过)不同，——[[意思是:POST/GET/HEAD]]——，对于“预飞行”请求，浏览器首先使用OPTIONS方法发送一个HTTP请求[..]

Cors在行动:[..]某些类型的请求，如DELETE或PUT，在发出实际请求之前需要进一步请求服务器的许可。]所谓的飞行前请求[..]

其他人已经发布了很好的答案，我只是想补充一点，在大多数语言、框架和用例中，你会更多地使用POST，而不是PUT。PUT、DELETE等基本都是鸡毛蒜毛的问题。

给出rest风格资源的示例:

带有一堆图书信息的POST /books可能会创建一本新书，并响应标识该图书的新URL: /books/5。

PUT /books/5必须创建一个ID为5的新书，或者用ID 5替换现有的书。

在非资源风格中，POST可以用于几乎任何具有副作用的事情。另一个区别是PUT应该是幂等的:同一个数据的多个PUT到同一个URL应该没问题，而多个POST可能会创建多个对象或POST操作所做的任何事情。

HTTP PUT:

PUT将一个文件或资源放在一个特定的URI中，并且正是在这个URI中。如果该URI上已经有文件或资源，PUT将替换该文件或资源。如果没有文件或资源，PUT会创建一个。PUT是幂等的，但矛盾的是PUT响应是不可缓存的。

PUT的HTTP 1.1 RFC位置

HTTP POST:

POST将数据发送到特定的URI，并期望该URI上的资源处理请求。此时，web服务器可以确定在指定资源的上下文中如何处理数据。POST方法不是幂等的，但是POST响应是可缓存的，只要服务器设置了适当的Cache-Control和Expires头。

正式的HTTP RFC指定POST为:

现有资源的注释; 在公告栏、新闻组、邮件列表上发布消息， 或类似的文章组; 提供一个数据块，例如提交的结果 表单，来一个数据处理过程; 通过追加操作扩展数据库。

POST的HTTP 1.1 RFC位置

POST和PUT的区别:

RFC本身解释了核心差异:

The fundamental difference between the POST and PUT requests is reflected in the different meaning of the Request-URI. The URI in a POST request identifies the resource that will handle the enclosed entity. That resource might be a data-accepting process, a gateway to some other protocol, or a separate entity that accepts annotations. In contrast, the URI in a PUT request identifies the entity enclosed with the request -- the user agent knows what URI is intended and the server MUST NOT attempt to apply the request to some other resource. If the server desires that the request be applied to a different URI, it MUST send a 301 (Moved Permanently) response; the user agent MAY then make its own decision regarding whether or not to redirect the request.

此外，更简单地说，RFC 7231章节4.3.4 PUT声明(强调添加)，

4.3.4. 把 PUT方法请求目标资源的状态为 用表示形式定义的状态创建或替换 包含在请求消息有效负载中。

使用正确的方法，抛开无关:

REST ROA相对于SOAP的一个好处是，当使用HTTP REST ROA时，它鼓励正确使用HTTP动词/方法。因此，例如，当您想要在该确切位置创建资源时，才会使用PUT。而且您永远不会使用GET来创建或修改资源。

总结

使用PUT创建或用请求中包含的表示定义的状态替换目标资源的状态。这种标准化的预期效果是幂等的，因此它通知中介，在通信失败的情况下，他们可以重复请求。 否则使用POST(包括创建或替换目标资源以外的资源状态)。其预期效果不规范，中介机构不能依赖任何普遍属性。

参考文献

关于POST和PUT请求方法之间语义差异的最新权威描述在RFC 7231中给出(Roy Fielding, Julian Reschke, 2014):

The fundamental difference between the POST and PUT methods is highlighted by the different intent for the enclosed representation. The target resource in a POST request is intended to handle the enclosed representation according to the resource's own semantics, whereas the enclosed representation in a PUT request is defined as replacing the state of the target resource. Hence, the intent of PUT is idempotent and visible to intermediaries, even though the exact effect is only known by the origin server.

换句话说，PUT的预期效果是标准化的(用请求中所包含的表示定义的状态创建或替换目标资源的状态)，因此对所有目标资源都是通用的，而POST的预期效果不是标准化的，因此是特定于每个目标资源的。因此POST可以用于任何事情，包括实现PUT和其他请求方法(GET、HEAD、DELETE、CONNECT、OPTIONS和TRACE)的预期效果。

But it is recommended to always use the more specialized request method rather than POST when applicable because it provides more information to intermediaries for automating information retrieval (since GET, HEAD, OPTIONS, and TRACE are defined as safe), handling communication failure (since GET, HEAD, PUT, DELETE, OPTIONS, and TRACE are defined as idempotent), and optimizing cache performance (since GET and HEAD are defined as cacheable), as explained in It Is Okay to Use POST (Roy Fielding, 2009):

POST only becomes an issue when it is used in a situation for which some other method is ideally suited: e.g., retrieval of information that should be a representation of some resource (GET), complete replacement of a representation (PUT), or any of the other standardized methods that tell intermediaries something more valuable than “this may change something.” The other methods are more valuable to intermediaries because they say something about how failures can be automatically handled and how intermediate caches can optimize their behavior. POST does not have those characteristics, but that doesn’t mean we can live without it. POST serves many useful purposes in HTTP, including the general purpose of “this action isn’t worth standardizing.”