使用GET方法和POST方法有什么不同?哪个更安全?它们各自的优点是什么?
(类似问题)
使用GET方法和POST方法有什么不同?哪个更安全?它们各自的优点是什么?
(类似问题)
当前回答
这不是安全问题。HTTP协议将get类型的请求定义为幂等请求,而post可能有副作用。简单地说,这意味着GET用于查看某些内容而不更改它,而POST用于更改某些内容。例如,搜索页面应该使用GET,而更改密码的表单应该使用POST。
另外,请注意PHP混淆了一些概念。POST请求从查询字符串和请求体中获取输入。GET请求只是从查询字符串中获取输入。所以POST请求是GET请求的超集;你可以在POST请求中使用$_GET,甚至在$_POST和$_GET中使用相同名称的参数表示不同的含义也是有意义的。
例如,假设您有一个编辑文章的表单。article-id可能在查询字符串中(因此可以通过$_GET['id']获得),但是假设您想要更改article-id。新的id可能会出现在请求体($_POST['id'])中。好吧,也许这不是最好的例子,但我希望它能说明两者之间的区别。
其他回答
在修改数据时使用POST的原因:
像谷歌这样的网络加速器将单击页面上的所有(GET)链接并缓存它们。如果链接更改了内容,这是非常糟糕的。 浏览器缓存GET请求,因此即使用户单击链接,它也不会向服务器发送执行更改的请求。 为了保护您的站点/应用程序免受CSRF的侵害,您必须使用POST。为了完全保护你的应用,你还必须在服务器上生成一个唯一的标识符,并在请求中发送。
另外,不要在查询字符串中放入敏感信息(只有GET选项),因为它会显示在地址栏、书签和服务器日志中。
希望这能解释为什么人们说POST是“安全的”。如果要传输敏感数据,则必须使用SSL。
如果您想从URL检索资源,请使用GET方法。如果你点击浏览器的后退按钮,你总是可以看到最后一页,而且它可能被书签,所以它不如POST方法安全。
如果你想向URL“提交”一些东西,请使用POST方法。例如,你想创建一个谷歌帐户,你可能需要填写所有的详细信息,然后你点击“提交”按钮(这里调用POST方法),一旦你提交成功,并尝试点击浏览器的返回按钮,你会得到一个错误或一个新的空白表单,而不是最后一页填满的表单。
Get和Post方法与你使用的服务器技术无关,它在php、asp.net或ruby中都是一样的。GET和POST是HTTP协议的一部分。 正如mark所指出的,POST更安全。POST表单也不被浏览器缓存。 POST也用于传输大量数据。
GET方法:
仅用于发送256个字符的日期 使用此方法时,可以在浏览器上看到信息 它是表单使用的默认方法 它不是那么安全。
POST方法:
它用于发送无限数据。 使用这种方法,信息不能在浏览器上看到 您可以显式地提到POST方法 它比GET方法更安全 它提供了更高级的功能
使用GET有两种常见的“安全”含义。由于数据出现在URL字符串,它可能有人看着你的肩膀在地址栏/URL可能能够看到一些他们不应该知道的东西,如会话cookie,可能会被用来劫持你的会话。记住,每个人都有照相手机。
GET的另一个安全含义与GET变量被记录到大多数web服务器访问日志作为请求URL的一部分有关。根据情况、监管环境和数据的总体敏感性,这可能会引发担忧。
一些客户端/防火墙/IDS系统可能会拒绝包含过多数据的GET请求,因此可能会提供不可靠的结果。
POST支持高级功能,如支持用于文件上传到web服务器的多部分二进制输入。
POST需要一个内容长度的报头,这可能会增加特定于应用程序的客户端实现的复杂性,因为必须提前知道提交的数据的大小,以防止客户端请求以单次传递的增量模式形成。对于那些选择滥用HTTP作为RPC(远程过程调用)传输的人来说,这可能是一个小问题。
其他人已经很好地涵盖了语义差异和这个问题的“何时”部分。