当比较HTTP GET和HTTP POST时,从安全角度看有什么不同?其中一个选择是否天生就比另一个更安全?如果有,为什么?

我意识到POST没有公开URL上的信息,但其中有任何真正的价值吗?或者它只是通过隐匿性来实现安全?当安全性是一个问题时,我是否有理由更喜欢POST ?

编辑: 通过HTTPS, POST数据被编码,但url会被第三方嗅探吗?此外,我正在处理JSP;当使用JSP或类似的框架时,是否可以公平地说,最佳实践是避免将敏感数据完全放在POST或GET中,而是使用服务器端代码来处理敏感信息?


当前回答

许多人采用一种约定(Ross提到过),即GET请求只检索数据,不修改服务器上的任何数据,而POST请求用于所有数据修改。虽然其中一种并不比另一种更安全,但如果你遵循这个约定,你可以应用横切安全逻辑(例如,只有拥有帐户的人才可以修改数据,因此未经身份验证的post将被拒绝)。

其他回答

即使POST与GET相比没有提供真正的安全优势,对于登录表单或任何其他具有相对敏感信息的表单,请确保您使用POST作为:

post的信息不会保存在用户的历史记录中。 表单中发送的敏感信息(密码等)以后将不会在URL栏中可见(通过使用GET,它将在历史记录和URL栏中可见)。

此外,GET有理论上的数据限制。不。

对于真正敏感的信息,请确保使用SSL (HTTPS)

除非使用https,否则不存在安全性—使用https, GET和POST之间的传输安全性是相同的。

但是一个重要的方面是客户机和服务器在记住请求时的区别。在考虑使用GET或POST进行登录时,要记住这一点非常重要。

使用POST,密码由服务器应用程序处理,然后丢弃,因为一个好的设计不会在数据库中存储密码——只存储加密安全的散列。

但是使用GET,服务器日志最终将包含包含查询参数的请求。因此,无论数据库中的密码哈希值有多好,服务器日志仍然会以明文形式包含密码。除非对文件系统进行加密,否则即使在删除日志文件之后,服务器磁盘仍将包含这些密码。

使用访问令牌作为查询参数时也会出现同样的问题。这也是为什么考虑在HTTP报头数据中提供任何访问令牌是有意义的原因——比如在授权报头中使用承载令牌。

服务器日志通常是web服务中最薄弱的部分,允许攻击者从泄露的信息中提升他们的访问权限。

Neither one of GET and POST is inherently "more secure" than the other, just like neither one of fax and phone is "more secure" than the other. The various HTTP methods are provided so that you can choose the one which is most appropiate for the problem you're trying to solve. GET is more appropiate for idempotent queries while POST is more appropiate for "action" queries, but you can shoot yourself in the foot just as easily with any of them if you don't understand the security architecture for the application you're maintaining.

最好是阅读第9章:HTTP/1.1 RFC的方法定义,以全面了解get和POST最初的含义。

这是一篇旧文章,但我想反对其中的一些答案。如果要传输敏感数据,则需要使用SSL。如果您使用带有GET参数的SSL(例如?userid=123),该数据将以纯文本形式发送!如果使用POST发送,则将值放在消息的加密正文中,因此大多数MITM攻击都无法读取。

最大的区别在于数据传递的位置。如果数据放在URL中,就不能加密,否则就无法路由到服务器,因为只有你可以读取URL。这就是GET的工作方式。

简而言之,您可以在POST中通过SSL安全地传输数据,但您不能使用GET,无论是否使用SSL。

我通常的选择方法是:

GET用于稍后将通过URL检索的项 例如,搜索应该是GET,所以你可以做Search .php?s=XXX POST将被发送的项目 与GET相比,这是相对不可见的,并且更难发送,但数据仍然可以通过cURL发送。