GET请求的安全性略低于POST请求。两者本身都不能提供真正的“安全”;使用POST请求并不能神奇地使你的网站免受恶意攻击。但是，使用GET请求会使原本安全的应用程序变得不安全。

“不能使用GET请求进行更改”的咒语仍然非常有效，但这与恶意行为没有多大关系。登录表单对于使用错误的请求类型发送最为敏感。

搜索蜘蛛和网络加速器

这就是应该使用POST请求来更改数据的真正原因。搜索蜘蛛会跟踪你网站上的每个链接，但不会提交他们找到的随机表单。

Web加速器比搜索蜘蛛更糟糕，因为它们运行在客户端机器上，并且“点击”登录用户上下文中的所有链接。因此，使用GET请求删除内容的应用程序，即使它需要管理员，也会很高兴地服从(非恶意的!)web加速器的命令，删除它看到的所有内容。

混淆副攻

不管使用GET请求还是POST请求，都可能出现混淆代理攻击(代理是浏览器)。

在攻击者控制的网站上，GET和POST同样容易提交，无需用户交互。

POST不太容易受到影响的唯一情况是，许多不受攻击者控制的网站(比如第三方论坛)允许嵌入任意图像(允许攻击者注入任意GET请求)，但阻止所有方式注入任意POST请求，无论是自动还是手动。

有人可能会说，网络加速器是混淆代理攻击的一个例子，但这只是一个定义的问题。如果有的话，恶意攻击者无法控制这一点，所以即使副手感到困惑，这也很难说是攻击。

代理日志

代理服务器可能会完整地记录GET url，而不剥离查询字符串。POST请求参数通常不会被记录。在这两种情况下，cookie都不太可能被记录。(例子)

这是支持POST的一个非常薄弱的论点。首先，未加密的流量可以被完整地记录;恶意代理已经拥有了它所需要的一切。其次，请求参数对攻击者的用处有限:他们真正需要的是cookie，所以如果他们唯一拥有的是代理日志，他们就不太可能攻击GET或POST URL。

登录请求有一个例外:这些请求往往包含用户的密码。将此保存在代理日志中会打开一个在POST情况下不存在的攻击向量。然而，通过纯HTTP登录本身就是不安全的。

代理缓存

缓存代理可能会保留GET响应，但不会保留POST响应。话虽如此，GET响应可以变得不可缓存，而不是将URL转换为POST处理程序。

HTTP“推荐人”

如果用户从响应GET请求的页面导航到第三方网站，该第三方网站将看到所有GET请求参数。

属于“向第三方透露请求参数”的类别，其严重性取决于这些参数中包含的内容。POST请求自然不受此影响，但是要利用GET请求，黑客需要在服务器的响应中插入到他们自己网站的链接。

浏览器历史记录

这与“代理日志”参数非常相似:GET请求连同它们的参数一起存储在浏览器历史记录中。如果攻击者有物理访问机器的权限，他们可以很容易地获得这些信息。

浏览器刷新动作

一旦用户点击“刷新”，浏览器就会重新尝试GET请求。它可能在关闭后恢复选项卡时这样做。因此，任何行为(比如付款)都会在没有任何警告的情况下重复发生。

浏览器不会在没有警告的情况下重试POST请求。

这是只使用POST请求来更改数据的一个很好的理由，但与恶意行为无关，因此与安全性无关。

那我该怎么办呢?

Use only POST requests to change data, mainly for non-security-related reasons. Use only POST requests for login forms; doing otherwise introduces attack vectors. If your site performs sensitive operations, you really need someone who knows what they’re doing, because this can’t be covered in a single answer. You need to use HTTPS, HSTS, CSP, mitigate SQL injection, script injection (XSS), CSRF, and a gazillion of other things that may be specific to your platform (like the mass assignment vulnerability in various frameworks: ASP.NET MVC, Ruby on Rails, etc.). There is no single thing that will make the difference between "secure" (not exploitable) and "not secure".

---

通过HTTPS, POST数据被编码，但url会被第三方嗅探吗?

不，他们不能嗅。但url将存储在浏览器历史记录中。

是否可以公平地说，最佳实践是避免将敏感数据完全放在POST或GET中，而是使用服务器端代码来处理敏感信息?

这取决于它有多敏感，或者更具体地说，以何种方式敏感。显然客户会看到它。任何可以实际访问客户端计算机的人都可以看到它。客户端可以在发送回给您时欺骗它。如果这些很重要，那么是的，把敏感数据保存在服务器上，不要让它离开。

没有额外的安全性。

Post数据不会显示在历史和/或日志文件中，但如果数据应该保持安全，则需要SSL。 否则，任何嗅探线路的人都可以读取数据。

你也应该意识到，如果你的网站包含链接到其他外部网站，你不控制使用GET将把数据放在外部网站的引用头，当他们按下你的网站上的链接。因此，通过GET方法传输登录数据总是一个大问题。因为这可能会暴露登录凭据，以便通过检查日志或查看谷歌分析(或类似)轻松访问。

RFC7231:

uri的目的是共享的，而不是安全的，即使它们被识别 获取资源。uri通常显示在添加到的显示器上 模板当一个页面被打印出来，并存储在各种 未受保护的书签列表。因此，包括 URI中的敏感信息、个人身份信息、 或者是要暴露的风险。

服务的作者应该避免在提交时使用基于get的表单 敏感数据，因为这些数据将放在 请求目标。许多现有的服务器、代理和用户代理都有日志记录 或者将请求目标显示在可以看到它的地方 第三方。这样的服务应该使用基于post的表单提交 相反。”

这个RFC明确指出不应该使用GET提交敏感数据。由于这句话，一些实现者可能不会同样小心地处理从GET请求的查询部分获得的数据。我自己也在研究一个保证数据完整性的协议。根据这个规范，我不应该保证GET数据的完整性(我将这样做，因为没有人遵守这些规范)

最近发布了一种攻击，它允许中间人泄露压缩HTTPS请求的请求体。由于请求头和URL没有被HTTP压缩，GET请求可以更好地防止这种特定的攻击。

在某些模式下，GET请求也容易受到攻击，SPDY压缩请求头，TLS也提供可选的(很少使用)压缩。在这些情况下，攻击更容易预防(浏览器供应商已经提供了修复程序)。HTTP级别的压缩是一个更基本的特性，供应商不太可能禁用它。

这只是一个示例，展示了GET比POST更安全的场景，但从这种攻击原因来看，我不认为选择GET而不是POST是一个好主意。这种攻击相当复杂，需要非常重要的先决条件(攻击者需要能够控制部分请求内容)。在攻击可能有害的情况下，最好禁用HTTP压缩。

甚至POST也接受GET请求。假设您有一个表单，其中有user.name和user这样的输入。Passwd，这些应该支持用户名和密码。如果我们简单地添加?user.name="my user&user. name="Passwd =“我的密码”，则请求将通过“绕过登录页面”被接受。

对此的解决方案是在服务器端实现过滤器(java过滤器作为e)，并检测到没有字符串查询作为GET参数传递。