PUT是一种将内容“上载”到特定URI或覆盖该URI中已有内容的方法。

另一方面，POST是提交与给定URI相关的数据的一种方式。

参考HTTP RFC

请参阅:http://zacharyvoase.com/2009/07/03/http-post-put-diff/

最近，我对web开发人员的一个流行误解感到非常恼火，他们认为POST是用来创建资源的，而PUT是用来更新/更改资源的。

如果你看一下RFC 2616的第55页(“超文本传输协议- HTTP/1.1”)，第9.6节(“PUT”)，你会看到PUT实际上是干什么的:

PUT方法要求将所包含的实体存储在所提供的Request-URI下。

还有一个方便的段落解释了POST和PUT之间的区别:

The fundamental difference between the POST and PUT requests is reflected in the different meaning of the Request-URI. The URI in a POST request identifies the resource that will handle the enclosed entity. That resource might be a data-accepting process, a gateway to some other protocol, or a separate entity that accepts annotations. In contrast, the URI in a PUT request identifies the entity enclosed with the request – the user agent knows what URI is intended and the server MUST NOT attempt to apply the request to some other resource.

它没有提到更新/创建之间的区别，因为这不是它的重点。这是关于这两者之间的区别:

obj.set_attribute(value) # A POST request.

这:

obj.attribute = value # A PUT request.

所以，请停止这种流行的误解的传播。阅读rfc。

实际上，除了他们的头衔之外，没有什么不同。GET和其他方法之间实际上有一个基本的区别。使用“GET”-Request方法，发送url地址行中的数据，首先用问号分隔，然后用&符号分隔。

但是使用“POST”-request方法，您不能通过url传递数据，而是必须将数据作为请求的所谓“主体”中的对象传递。在服务器端，您必须读取接收到的内容正文，以便获得发送的数据。 但另一方面，当你发送"GET"-Request时，就不可能在body中发送内容。

“GET”只用于获取数据而“POST”用于发布数据的说法是绝对错误的。没有人可以阻止你创建新的内容，删除现有的内容，编辑现有的内容或做任何在后端，基于数据，这是由“GET”请求或由“POST”请求发送。没有人能阻止你在后端编码，用一个"POST"-Request，客户端请求一些数据。

对于请求，无论使用哪种方法，您都调用URL并发送或不发送一些数据来指定，您希望将哪些信息传递给服务器以处理您的请求，然后客户端从服务器获得一个答案。数据可以包含你想要发送的任何东西，后端可以对数据做任何它想做的事情，响应可以包含任何你想要放在那里的信息。

只有这两个基本方法。GET和POST。但使它们不同的是它们的结构，而不是你在后端编写的代码。在后端，您可以使用接收到的数据编写任何您想要的代码。但是使用“POST”请求，你必须在正文中发送/检索数据，而不是在url-addressline中，而使用“GET”请求，你必须在url-addressline中发送/检索数据，而不是在正文中。这是所有。

所有其他的方法，比如"PUT"， "DELETE"等等，它们都有和"POST"相同的结构。

如果你想隐藏一些内容，POST方法主要被使用，因为无论你在url-addressline中写什么，这都将被保存在缓存中，GET-Method与用数据写url-addressline是一样的。因此，如果你想发送敏感数据，不一定总是用户名和密码，但例如一些id或哈希，你不希望显示在url地址行，那么你应该使用POST方法。

此外，URL-Addressline的长度被限制为1024个符号，而“POST”-方法则不受限制。因此，如果数据量较大，则可能无法使用GET-Request发送数据，而需要使用POST-Request。这也是post请求的另一个优点。

但是当您没有复杂的文本要发送时，处理get请求要容易得多。 否则，这是POST方法的另一个优点，使用get方法，您需要对文本进行url编码，以便能够在文本甚至空格中发送一些符号。但是使用POST方法没有任何限制，您的内容不需要以任何方式更改或操作。

值得一提的是，POST容易受到一些常见的跨站请求伪造(CSRF)攻击，而PUT则不会。

当受害者访问attackersite.com时，下面的CSRF是不可能的。

攻击的效果是，受害者无意中删除一个用户，只是因为它(受害者)在访问attackersite.com之前以admin身份登录target.site.com:

attackersite.com上的恶意代码:

案例1:正常请求。保存的target.site.com cookie将自动由浏览器发送:(注意:只支持PUT，在端点，是更安全的，因为它是不支持<form>属性值)

<!--deletes user with id 5-->
<form id="myform" method="post" action="http://target.site.com/deleteUser" >
    <input type="hidden" name="userId" value="5">
</form>
<script>document.createElement('form').submit.call(document.getElementById('myform'));</script>

案例2:XHR请求。保存的target.site.com cookie将被浏览器自动发送:(注意:只支持PUT，在端点，是更安全的，因为尝试发送PUT将触发一个preflight请求，其响应将阻止浏览器请求deleteUser页面)

//deletes user with id 5
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://target.site.com/deleteUser");
xhr.withCredentials=true;
xhr.send(["userId=5"]);

MDN Ref: [..]与“简单请求”(上面讨论过)不同，——[[意思是:POST/GET/HEAD]]——，对于“预飞行”请求，浏览器首先使用OPTIONS方法发送一个HTTP请求[..]

Cors在行动:[..]某些类型的请求，如DELETE或PUT，在发出实际请求之前需要进一步请求服务器的许可。]所谓的飞行前请求[..]

给出rest风格资源的示例:

带有一堆图书信息的POST /books可能会创建一本新书，并响应标识该图书的新URL: /books/5。

PUT /books/5必须创建一个ID为5的新书，或者用ID 5替换现有的书。

在非资源风格中，POST可以用于几乎任何具有副作用的事情。另一个区别是PUT应该是幂等的:同一个数据的多个PUT到同一个URL应该没问题，而多个POST可能会创建多个对象或POST操作所做的任何事情。

Post和Put主要用于发布数据和其他更新数据。但是你可以只对post request做同样的事情。