安全的概念是没有意义的，除非你定义了你想要防范的是什么。

如果您希望对存储的浏览器历史记录、某些类型的日志记录以及查看您的url的人保持安全，那么POST更安全。

如果您希望安全防范某人嗅探您的网络活动，那么没有什么区别。

除非使用https，否则不存在安全性—使用https, GET和POST之间的传输安全性是相同的。

但是一个重要的方面是客户机和服务器在记住请求时的区别。在考虑使用GET或POST进行登录时，要记住这一点非常重要。

使用POST，密码由服务器应用程序处理，然后丢弃，因为一个好的设计不会在数据库中存储密码——只存储加密安全的散列。

但是使用GET，服务器日志最终将包含包含查询参数的请求。因此，无论数据库中的密码哈希值有多好，服务器日志仍然会以明文形式包含密码。除非对文件系统进行加密，否则即使在删除日志文件之后，服务器磁盘仍将包含这些密码。

使用访问令牌作为查询参数时也会出现同样的问题。这也是为什么考虑在HTTP报头数据中提供任何访问令牌是有意义的原因——比如在授权报头中使用承载令牌。

服务器日志通常是web服务中最薄弱的部分，允许攻击者从泄露的信息中提升他们的访问权限。

没有额外的安全性。

Post数据不会显示在历史和/或日志文件中，但如果数据应该保持安全，则需要SSL。 否则，任何嗅探线路的人都可以读取数据。

POST在安全性方面较差的一个原因是GET在默认情况下被记录，参数和所有数据几乎都被你的web服务器记录。

POST则相反，它几乎没有被记录，导致很难发现攻击者的活动。

我不相信“它太大了”的说法，这不是不记录任何东西的理由，至少1KB，这对人们识别攻击者很有帮助，直到它出现，然后POST做了双重破坏服务，通过启用任何基于HTTP的后门来无声地传递无限数量的数据。

甚至POST也接受GET请求。假设您有一个表单，其中有user.name和user这样的输入。Passwd，这些应该支持用户名和密码。如果我们简单地添加?user.name="my user&user. name="Passwd =“我的密码”，则请求将通过“绕过登录页面”被接受。

对此的解决方案是在服务器端实现过滤器(java过滤器作为e)，并检测到没有字符串查询作为GET参数传递。

你也应该意识到，如果你的网站包含链接到其他外部网站，你不控制使用GET将把数据放在外部网站的引用头，当他们按下你的网站上的链接。因此，通过GET方法传输登录数据总是一个大问题。因为这可能会暴露登录凭据，以便通过检查日志或查看谷歌分析(或类似)轻松访问。