網上看了一篇關於這兩種請求的區別,感覺和之前看到的不太一樣。
大眾版:
1. GET使用URL或Cookie傳參。而POST將數據放在BODY中。
2. GET的URL會有長度上的限制,則POST的數據則可以非常大。
3. POST比GET安全,因為數據在地址欄上不可見。
分析:
對於第一個:
GET和POST與數據如何傳遞沒有關系
GET和POST是由HTTP協議定義的。在HTTP協議中,Method和Data(URL, Body, Header)是正交的兩個概念,也就是說,使用哪個Method與應用層的數據如何傳輸是沒有相互關系的。
HTTP沒有要求,如果Method是POST數據就要放在BODY中。也沒有要求,如果Method是GET,數據(參數)就一定要放在URL中而不能放在BODY中。
GET和POST與數據如何傳遞沒有關系
GET和POST是由HTTP協議定義的。在HTTP協議中,Method和Data(URL, Body, Header)是正交的兩個概念,也就是說,使用哪個Method與應用層的數據如何傳輸是沒有相互關系的。
HTTP沒有要求,如果Method是POST數據就要放在BODY中。也沒有要求,如果Method是GET,數據(參數)就一定要放在URL中而不能放在BODY中。
對於第二個:HTTP協議對GET和POST都沒有對長度的限制
1. 瀏覽器。據說早期的瀏覽器會對URL長度做限制。據說IE對URL長度會限制在2048個字符內(流傳很廣,而且無數同事都表示認同)。但我自己試了一下,我構造了90K的URL通過IE9訪問live.com,是正常的。網上的東西,哪怕是Wikipedia上的,也不能信。
不過據說IE678都還是有2k的限制的
2. 服務器。URL長了,對服務器處理也是一種負擔。原本一個會話就沒有多少數據,現在如果有人惡意地構造幾個幾M大小的URL,並不停地訪問你的服務器。服務器的最大並發數顯然會下降。另一種攻擊方式是,把告訴服務器Content-Length是一個很大的數,然后只給服務器發一點兒數據,嘿嘿,服務器你就傻等着去吧。哪怕你有超時設置,這種故意的次次訪問超時也能讓服務器吃不了兜着走。
有鑒於此,多數服務器出於安全啦、穩定啦方面的考慮,會給URL長度加限制。但是這個限制是針對所有HTTP請求的,與GET、POST沒有關系。
對於第三個:
安全不安全和GET、POST沒有關系
我覺得這真是中國特色。我講個小段子,大家應該可以體會出這個說法多么的可笑。
覺得POST數據比GET數據安全的人會說
“防君子不防小人;中國小白多,能防小白用戶就行了。”
“哼,”我不以為然,“那你怎么不說,URL參數都Encode過了,或是Base64一下,小白也看不懂啊。”
那人反駁道,“Encode太簡單了,聰明點兒的小白很容易就可以Decode並修改掉。”
我笑道,“五十步笑百步耳,再聰明點兒的小白還會截包並重發呢,Opera就有這功能。”
那人陰險地祭出神器——最終解釋權,說,“這個不算小白。”
我日啊。
新觀點:GET是用於獲取數據的,POST,一般用於將數據發給服務器之用。