免责声明:以下几点仅适用于API调用，不适用于网站url。

网络安全:必须使用HTTPS。在这种情况下，GET和POST同样安全。

浏览器历史记录:对于前端应用程序，如Angular JS, React JS等，API调用是前端进行的AJAX调用。这些不会成为浏览器历史的一部分。因此，POST和GET是同样安全的。

服务器端日志:通过使用写入数据屏蔽和访问日志格式，可以隐藏所有或仅从request-URL中隐藏敏感数据。

浏览器控制台中的数据可见性:对于怀有恶意的人来说，查看POST数据和查看GET数据几乎是一样的。

因此，通过正确的日志记录实践，GET API与POST API一样安全。在所有地方都使用POST，会强制执行糟糕的API定义，应该避免。

你也应该意识到，如果你的网站包含链接到其他外部网站，你不控制使用GET将把数据放在外部网站的引用头，当他们按下你的网站上的链接。因此，通过GET方法传输登录数据总是一个大问题。因为这可能会暴露登录凭据，以便通过检查日志或查看谷歌分析(或类似)轻松访问。

RFC7231:

uri的目的是共享的，而不是安全的，即使它们被识别 获取资源。uri通常显示在添加到的显示器上 模板当一个页面被打印出来，并存储在各种 未受保护的书签列表。因此，包括 URI中的敏感信息、个人身份信息、 或者是要暴露的风险。

服务的作者应该避免在提交时使用基于get的表单 敏感数据，因为这些数据将放在 请求目标。许多现有的服务器、代理和用户代理都有日志记录 或者将请求目标显示在可以看到它的地方 第三方。这样的服务应该使用基于post的表单提交 相反。”

这个RFC明确指出不应该使用GET提交敏感数据。由于这句话，一些实现者可能不会同样小心地处理从GET请求的查询部分获得的数据。我自己也在研究一个保证数据完整性的协议。根据这个规范，我不应该保证GET数据的完整性(我将这样做，因为没有人遵守这些规范)

Neither one of GET and POST is inherently "more secure" than the other, just like neither one of fax and phone is "more secure" than the other. The various HTTP methods are provided so that you can choose the one which is most appropiate for the problem you're trying to solve. GET is more appropiate for idempotent queries while POST is more appropiate for "action" queries, but you can shoot yourself in the foot just as easily with any of them if you don't understand the security architecture for the application you're maintaining.

最好是阅读第9章:HTTP/1.1 RFC的方法定义，以全面了解get和POST最初的含义。

许多人采用一种约定(Ross提到过)，即GET请求只检索数据，不修改服务器上的任何数据，而POST请求用于所有数据修改。虽然其中一种并不比另一种更安全，但如果你遵循这个约定，你可以应用横切安全逻辑(例如，只有拥有帐户的人才可以修改数据，因此未经身份验证的post将被拒绝)。

除非使用https，否则不存在安全性—使用https, GET和POST之间的传输安全性是相同的。

但是一个重要的方面是客户机和服务器在记住请求时的区别。在考虑使用GET或POST进行登录时，要记住这一点非常重要。

使用POST，密码由服务器应用程序处理，然后丢弃，因为一个好的设计不会在数据库中存储密码——只存储加密安全的散列。

但是使用GET，服务器日志最终将包含包含查询参数的请求。因此，无论数据库中的密码哈希值有多好，服务器日志仍然会以明文形式包含密码。除非对文件系统进行加密，否则即使在删除日志文件之后，服务器磁盘仍将包含这些密码。

使用访问令牌作为查询参数时也会出现同样的问题。这也是为什么考虑在HTTP报头数据中提供任何访问令牌是有意义的原因——比如在授权报头中使用承载令牌。

服务器日志通常是web服务中最薄弱的部分，允许攻击者从泄露的信息中提升他们的访问权限。