什么是HTTP?
超文本傳輸協議(HyperText Transfer Protocol -- HTTP)是一個設計來使客戶端和服務器順利進行通訊的協議。
HTTP在客戶端和服務器之間以request-responseprotocol(請求-回復協議)工作。
GET方法:
使用GET方法時,查詢字符串(鍵值對)被附加在URL地址后面一起發送到服務器:
/test/demo_form.jsp?name1=value1&name2=value2
特點:
· GET請求能夠被緩存
· GET請求會保存在瀏覽器的瀏覽記錄中
· 以GET請求的URL能夠保存為瀏覽器書簽
· GET請求有長度限制
· GET請求主要用以獲取數據
POST方法:
使用POST方法時,查詢字符串在POST信息中單獨存在,和HTTP請求一起發送到服務器:
POST/test/demo_form.jsp HTTP/1.1
Host:w3schools.com
name1=value1&name2=value2
特點:
· POST請求不能被緩存下來
· POST請求不會保存在瀏覽器瀏覽記錄中
· 以POST請求的URL無法保存為瀏覽器書簽
· POST請求沒有長度限制
GET和POST的區別:
|
|
GET |
POST |
| 點擊返回/刷新按鈕 |
沒有影響 |
數據會重新發送(瀏覽器將會提示用戶“數據被從新提交”) |
| 添加書簽 |
可以 |
不可以 |
| 緩存 |
可以 |
不可以 |
| 編碼類型(Encoding type) |
application/x-www-form-urlencoded |
application/x-www-form-urlencoded or multipart/form-data. 請為二進制數據使用multipart編碼 |
| 歷史記錄 |
有 |
沒有 |
| 長度限制 |
有 |
沒有 |
| 數據類型限制 |
只允許ASCII字符類型 |
沒有限制。允許二進制數據 |
| 安全性 |
查詢字符串會顯示在地址欄的URL中,不安全,請不要使用GET請求提交敏感數據 |
因為數據不會顯示在地址欄中,也不會緩存下來或保存在瀏覽記錄中,所以看POST求情比GET請求安全,但也不是最安全的方式。如需要傳送敏感數據,請使用加密方式傳輸 |
| 可見性 |
查詢字符串顯示在地址欄的URL中,可見 |
查詢字符串不會顯示在地址欄中,不可見 |
其他HTTP請求方式
| 方式 |
描述 |
| HEAD |
與GET請求類似,不同在與服務器只返回HTTP頭部信息,沒有頁面內容 |
| PUT |
上傳指定URL的描述 |
| DELETE |
刪除指定資源 |
| OPTIONS |
返回服務器支持的HTTP方法 |
| CONNECT |
轉換為透明TCP/IP隧道的連接請求 |
本質上,這些並不是HTTP的GET和POST兩者請求的區別,這些區別是建立在HTML標准對於HTTP協議的用法的約定之上的。
1. GET和POST與數據如何傳遞沒有關系
GET和POST是由HTTP協議定義的。在HTTP協議中,Method和Data(URL, Body, Header)是正交的兩個概念,也就是說,使用哪個Method與應用層的數據如何傳輸是沒有相互關系的。
HTTP沒有要求,如果Method是POST數據就要放在BODY中。也沒有要求,如果Method是GET,數據(參數)就一定要放在URL中而不能放在BODY中。
那么,網上流傳甚廣的這個說法是從何而來的呢?我在HTML標准中,找到了相似的描述。這和網上流傳的說法一致。但是這只是HTML標准對HTTP協議的用法的約定。怎么能當成GET和POST的區別呢?
而且,現代的Web Server都是支持GET中包含BODY這樣的請求。雖然這種請求不可能從瀏覽器發出,但是現在的Web Server又不是只給瀏覽器用,已經完全地超出了HTML服務器的范疇了。
2. HTTP協議對GET和POST都沒有對長度的限制
HTTP協議明確地指出了,HTTP頭和Body都沒有長度的要求。而對於URL長度上的限制,有兩方面的原因造成:
1. 瀏覽器。據說早期的瀏覽器會對URL長度做限制。據說IE對URL長度會限制在2048個字符內(流傳很廣,而且無數同事都表示認同)。但我自己試了一下,我構造了90K的URL通過IE9訪問live.com,是正常的。網上的東西,哪怕是Wikipedia上的,也不能信。
2. 服務器。URL長了,對服務器處理也是一種負擔。原本一個會話就沒有多少數據,現在如果有人惡意地構造幾個幾M大小的URL,並不停地訪問你的服務器。服務器的最大並發數顯然會下降。另一種攻擊方式是,把告訴服務器Content-Length是一個很大的數,然后只給服務器發一點兒數據,嘿嘿,服務器你就傻等着去吧。哪怕你有超時設置,這種故意的次次訪問超時也能讓服務器吃不了兜着走。有鑒於此,多數服務器出於安全啦、穩定啦方面的考慮,會給URL長度加限制。但是這個限制是針對所有HTTP請求的,與GET、POST沒有關系。
安全不安全和GET、POST沒有關系
我覺得這真是中國特色。我講個小段子,大家應該可以體會出這個說法多么的可笑。
覺得POST數據比GET數據安全的人會說
“防君子不防小人;中國小白多,能防小白用戶就行了。”
“哼,”我不以為然,“那你怎么不說,URL參數都Encode過了,或是Base64一下,小白也看不懂啊。”
那人反駁道,“Encode太簡單了,聰明點兒的小白很容易就可以Decode並修改掉。”
我笑道,“五十步笑百步耳,再聰明點兒的小白還會截包並重發呢,Opera就有這功能。”
那人陰險地祭出神器——最終解釋權,說,“這個不算小白。”
我日啊。