使用GET 或POST 方法有什么区别?哪个更安全?他们每个人的(缺点)优势是什么?
【问题讨论】:
标签: forms http post get http-method
这不是安全问题。 HTTP 协议将 GET 类型的请求定义为 idempotent,而 POST 可能会有副作用。用简单的英语来说,这意味着 GET 用于查看某些内容而不更改它,而 POST 用于更改某些内容。例如,搜索页面应使用 GET,而更改密码的表单应使用 POST。
另外,请注意 PHP 有点混淆了这些概念。 POST 请求从查询字符串和请求主体获取输入。 GET 请求只是从查询字符串中获取输入。所以 POST 请求是 GET 请求的超集;您可以在 POST 请求中使用 $_GET,甚至可以在 $_POST 和 $_GET 中使用具有相同名称的参数,这意味着不同的东西。
例如,假设您有一个用于编辑文章的表单。文章 ID 可能在查询字符串中(因此可以通过 $_GET['id'] 获得),但假设您想要更改文章 ID。新 ID 可能会出现在请求正文中 ($_POST['id'])。好吧,也许这不是最好的例子,但我希望它能说明两者之间的区别。
【讨论】:
当用户在表单中输入信息并单击提交时,可以通过两种方式将信息从浏览器发送到服务器:在 URL 中,或在 HTTP 请求的正文中。
前面示例中使用的 GET 方法将名称/值对附加到 URL。不幸的是,URL 的长度是有限的,所以这种方法只有在参数很少的情况下才有效。如果表单使用大量参数,或者参数包含大量数据,则 URL 可能会被截断。此外,在 URL 上传递的参数在浏览器的地址字段中可见,而不是显示密码的最佳位置。
GET 方法的替代方法是 POST 方法。此方法将名称/值对打包在 HTTP 请求的正文中,这使得 URL 更清晰并且对表单输出没有大小限制。它也更安全。
【讨论】:
最好的答案是第一个。
您正在使用:
【讨论】:
GET 也完全能够“发送”数据,所以不是一个非常准确的答案。
使用GET 有两种常见的“安全”含义。由于数据出现在 URL 字符串中,因此可能有人偷看您的地址栏/URL 可能会看到他们不应该知道的内容,例如可能被用来劫持您的会话的会话 cookie。记住每个人有照相手机。
GET 的其他安全隐患与作为请求 URL 的一部分记录到大多数 Web 服务器访问日志的 GET 变量有关。根据情况、监管环境和数据的一般敏感性,这可能会引起关注。
某些客户端/防火墙/IDS 系统可能会拒绝包含过多数据的GET请求,因此可能会提供不可靠的结果。
POST 支持高级功能,例如支持用于将文件上传到 Web 服务器的多部分二进制输入。
POST 需要一个内容长度标头,这可能会增加特定于应用程序的客户端实现的复杂性,因为必须提前知道提交的数据大小,以防止客户端请求以排他性的单通道增量模式形成。对于那些选择将 HTTP 用作 RPC(远程过程调用)传输的人来说,这可能是一个小问题。
其他人已经很好地涵盖了这个问题的语义差异和“何时”部分。
【讨论】:
我在检索信息时使用 GET从发送信息时的 URL 和 POST到一个网址。
【讨论】:
如果有大量数据或某种敏感信息(真正敏感的东西也需要安全连接),您应该使用 POST。
如果您希望人们能够为您的页面添加书签,请使用 GET,因为所有数据都包含在书签中。
只是要小心人们使用 GET 方法点击 REFRESH,因为每次都会在不警告用户的情况下再次发送数据(POST 有时会警告用户重新发送数据)。
【讨论】:
这个W3C document 解释了 HTTP GET 和 POST 的使用。
我认为这是一个权威的来源。
摘要是(文档的第 1.3 节):
- 使用得到如果交互更像是一个问题(即,它是一个安全的操作,例如查询、读取操作或查找)。
- 使用邮政如果:
- 交互更像是一个命令,或者
- 交互以一种方式改变资源的状态 用户会感知(例如,订阅服务),或
- 用户对交互结果负责。
【讨论】:
Get 和 Post 方法与您使用的服务器技术无关,它在 php、asp.net 或 ruby 中工作相同。 GET 和 POST 是 HTTP 协议的一部分。 正如 mark 所指出的,POST 更安全。 POST 表单也不会被浏览器缓存。 POST 也用于传输大量数据。
【讨论】:
更改数据时使用 POST 的原因:
此外,不要将敏感信息放入查询字符串(GET 的唯一选项),因为它会出现在地址栏、书签和服务器日志中。
希望这可以解释为什么人们说 POST 是“安全的”。如果您要传输敏感数据,则必须使用 SSL。
【讨论】:
GET 和 POST 是 HTTP 方法,它能够达到相似的目标
GET 基本上只是为了获取(检索)数据,GET 不应该有主体,所以除了 cookie 之外,唯一传递信息的地方是在 URL 中,并且 URL 的长度有限,GET 更少与 POST 相比安全,因为发送的数据是 URL 的一部分
发送密码、信用卡或其他敏感信息时切勿使用GET!,数据在 URL 中对所有人可见,可以缓存数据。
GET在我们重载或回调按钮时是无害的,它会被书签,参数保留在浏览器历史记录中,只允许ASCII字符。
POST 可能涉及任何事情,例如存储或更新数据、订购产品或发送电子邮件。 POST 方法有主体。
POST 方法是安全的,用于将敏感和机密信息传递到服务器,它在 URL 的查询参数中不可见,并且参数不保存在浏览器历史记录中。数据长度没有限制。当我们重新加载时,浏览器应该提醒用户数据即将重新提交。 POST方法无法收藏
【讨论】:
这个问题和other SO 上与GET 和POST 相关的问题中的所有或大部分答案都被误导了。它们在技术上是正确的,并且正确地解释了 standards,但在实践中却完全不同。让我解释:
GET 被认为是 idempotent,但不一定是。您可以将 GET 中的参数传递给对数据进行永久更改的服务器脚本。相反,POST被认为不是幂等的,但你可以POST到一个不对服务器进行任何更改的脚本。所以这是一个错误的二分法,在实践中无关紧要。
此外,如果说 GET 重新加载不会造成任何伤害,那是错误的——当然,如果它调用的脚本和它传递的参数正在进行永久性更改(例如删除数据),它当然可以。 POST 也可以!
现在,我们知道POST(到目前为止)更安全,因为它不会公开传递的参数,也不会被缓存。另外,您可以使用POST 传递更多数据,它还为您提供了一个干净、无混淆的 URL。它可以完成GET 可以做的所有事情。所以它只是更好。至少在生产中。
所以在实践中,你应该什么时候使用GET和POST?我在开发过程中使用GET,这样我就可以查看和调整我传递的参数。我用它来快速尝试不同的值(例如测试条件)甚至不同的参数。如果我需要一组不同的参数,我可以做到这一点,而不必构建表单并修改它。我只是根据需要在浏览器中编辑 URL。
开发完成后,或者至少稳定后,我将所有内容切换到POST。
如果您能想到任何技术原因认为这是不正确的,我将非常乐意学习。
【讨论】:
【讨论】:
如果要从 URL 检索资源,请使用 GET 方法。如果您点击浏览器的后退按钮,您总是可以看到最后一页,并且它可能被添加为书签,因此它不如 POST 方法安全。
如果您想向 URL“提交”某些内容,请使用 POST 方法。例如你想创建一个谷歌账户,你可能需要填写所有的详细信息,然后你点击'提交'按钮(这里调用POST方法),一旦你提交成功,并尝试点击浏览器的返回按钮,您将收到错误或新的空白表格,而不是填写表格的最后一页。
【讨论】:
我发现这个列表很有帮助
得到
邮政
【讨论】:
GET方法:
仅用于发送256个字符的日期
使用此方法时,可以在浏览器上看到信息
这是表单使用的默认方法
它不是那么安全。
POST 方法:
它用于发送无限数据。
使用此方法,无法在浏览器上看到信息
您可以明确提及 POST 方法
它比GET方法更安全
它提供了更多高级功能
【讨论】: