Post与安装SSL一起是最安全的，因为它在消息体中传输。

但所有这些方法都是不安全的，因为它下面使用的7位协议可以通过擒纵被破解。即使是通过四级网络应用防火墙。

套接字也不能保证…尽管它在某些方面更安全。

最近发布了一种攻击，它允许中间人泄露压缩HTTPS请求的请求体。由于请求头和URL没有被HTTP压缩，GET请求可以更好地防止这种特定的攻击。

在某些模式下，GET请求也容易受到攻击，SPDY压缩请求头，TLS也提供可选的(很少使用)压缩。在这些情况下，攻击更容易预防(浏览器供应商已经提供了修复程序)。HTTP级别的压缩是一个更基本的特性，供应商不太可能禁用它。

这只是一个示例，展示了GET比POST更安全的场景，但从这种攻击原因来看，我不认为选择GET而不是POST是一个好主意。这种攻击相当复杂，需要非常重要的先决条件(攻击者需要能够控制部分请求内容)。在攻击可能有害的情况下，最好禁用HTTP压缩。

Post与安装SSL一起是最安全的，因为它在消息体中传输。

但所有这些方法都是不安全的，因为它下面使用的7位协议可以通过擒纵被破解。即使是通过四级网络应用防火墙。

套接字也不能保证…尽管它在某些方面更安全。

免责声明:以下几点仅适用于API调用，不适用于网站url。

网络安全:必须使用HTTPS。在这种情况下，GET和POST同样安全。

浏览器历史记录:对于前端应用程序，如Angular JS, React JS等，API调用是前端进行的AJAX调用。这些不会成为浏览器历史的一部分。因此，POST和GET是同样安全的。

服务器端日志:通过使用写入数据屏蔽和访问日志格式，可以隐藏所有或仅从request-URL中隐藏敏感数据。

浏览器控制台中的数据可见性:对于怀有恶意的人来说，查看POST数据和查看GET数据几乎是一样的。

因此，通过正确的日志记录实践，GET API与POST API一样安全。在所有地方都使用POST，会强制执行糟糕的API定义，应该避免。

GET对任何人都是可见的(甚至是你肩膀上的人)，并且保存在缓存中，所以使用post不太安全，顺便说一句，没有一些加密程序的post是不确定的，为了一点安全性，你必须使用SSL (https)

考虑一下这种情况:一个草率的API接受如下GET请求:

http://www.example.com/api?apikey=abcdef123456&action=deleteCategory&id=1

在某些设置中，当您请求此URL时，如果有关于请求的错误/警告，则整行内容将记录在日志文件中。更糟糕的是:如果您忘记禁用生产服务器中的错误消息，则此信息将在浏览器中显示!现在你已经把你的API密钥给了所有人。

不幸的是，有一些真正的API是这样工作的。

我不喜欢在日志中有一些敏感信息或在浏览器中显示它们的想法。POST和GET是不同的。在适当的地方使用它们。