關於HTTP 請求方式: GET和POST的比較的本質
什麼是HTTP?瀏覽器
超文本傳輸協議(HyperText Transfer Protocol -- HTTP)是一個設計來使客戶端和服務器順利進行通信的協議。緩存
HTTP在客戶端和服務器之間以request-responseprotocol(請求-回覆協議)工做。安全
GET方法:服務器
使用GET方法時,查詢字符串(鍵值對)被附加在URL地址後面一塊兒發送到服務器:併發
/test/demo_form.jsp?name1=value1&name2=value2app
特色:jsp
· GET請求可以被緩存編碼
· GET請求會保存在瀏覽器的瀏覽記錄中加密
· 以GET請求的URL可以保存爲瀏覽器書籤url
· GET請求有長度限制
· GET請求主要用以獲取數據
POST方法:
使用POST方法時,查詢字符串在POST信息中單獨存在,和HTTP請求一塊兒發送到服務器:
POST/test/demo_form.jsp HTTP/1.1
Host:w3schools.com
name1=value1&name2=value2
特色:
· POST請求不能被緩存下來
· POST請求不會保存在瀏覽器瀏覽記錄中
· 以POST請求的URL沒法保存爲瀏覽器書籤
· POST請求沒有長度限制
GET和POST的區別:
|
|
GET |
POST |
| 點擊返回/刷新按鈕 |
沒有影響 |
數據會從新發送(瀏覽器將會提示用戶「數據被重新提交」) |
| 添加書籤 |
能夠 |
不能夠 |
| 緩存 |
能夠 |
不能夠 |
| 編碼類型(Encoding type) |
application/x-www-form-urlencoded |
application/x-www-form-urlencoded or multipart/form-data. 請爲二進制數據使用multipart編碼 |
| 歷史記錄 |
有 |
沒有 |
| 長度限制 |
有 |
沒有 |
| 數據類型限制 |
只容許ASCII字符類型 |
沒有限制。容許二進制數據 |
| 安全性 |
查詢字符串會顯示在地址欄的URL中,不安全,請不要使用GET請求提交敏感數據 |
由於數據不會顯示在地址欄中,也不會緩存下來或保存在瀏覽記錄中,因此看POST求情比GET請求安全,但也不是最安全的方式。如須要傳送敏感數據,請使用加密方式傳輸 |
| 可見性 |
查詢字符串顯示在地址欄的URL中,可見 |
查詢字符串不會顯示在地址欄中,不可見 |
其餘HTTP請求方式
| 方式 |
描述 |
| HEAD |
與GET請求相似,不一樣在與服務器只返回HTTP頭部信息,沒有頁面內容 |
| PUT |
上傳指定URL的描述 |
| DELETE |
刪除指定資源 |
| OPTIONS |
返回服務器支持的HTTP方法 |
| CONNECT |
轉換爲透明TCP/IP隧道的鏈接請求 |
本質上,這些並非HTTP的GET和POST二者請求的區別,這些區別是創建在HTML標準對於HTTP協議的用法的約定之上的。
1. GET和POST與數據如何傳遞沒有關係
GET和POST是由HTTP協議定義的。在HTTP協議中,Method和Data(URL, Body, Header)是正交的兩個概念,也就是說,使用哪一個Method與應用層的數據如何傳輸是沒有相互關係的。
HTTP沒有要求,若是Method是POST數據就要放在BODY中。也沒有要求,若是Method是GET,數據(參數)就必定要放在URL中而不能放在BODY中。
那麼,網上流傳甚廣的這個說法是從何而來的呢?我在HTML標準中,找到了類似的描述。這和網上流傳的說法一致。可是這只是HTML標準對HTTP協議的用法的約定。怎麼能當成GET和POST的區別呢?
並且,現代的Web Server都是支持GET中包含BODY這樣的請求。雖然這種請求不可能從瀏覽器發出,可是如今的Web Server又不是隻給瀏覽器用,已經徹底地超出了HTML服務器的範疇了。
2. HTTP協議對GET和POST都沒有對長度的限制
HTTP協議明確地指出了,HTTP頭和Body都沒有長度的要求。而對於URL長度上的限制,有兩方面的緣由形成:
1. 瀏覽器。聽說早期的瀏覽器會對URL長度作限制。聽說IE對URL長度會限制在2048個字符內(流傳很廣,並且無數同事都表示認同)。但我本身試了一下,我構造了90K的URL經過IE9訪問live.com,是正常的。網上的東西,哪怕是Wikipedia上的,也不能信。
2. 服務器。URL長了,對服務器處理也是一種負擔。本來一個會話就沒有多少數據,如今若是有人惡意地構造幾個幾M大小的URL,並不停地訪問你的服務器。服務器的最大併發數顯然會降低。另外一種攻擊方式是,把告訴服務器Content-Length是一個很大的數,而後只給服務器發一點兒數據,嘿嘿,服務器你就傻等着去吧。哪怕你有超時設置,這種故意的次次訪問超時也能讓服務器吃不了兜着走。有鑑於此,多數服務器出於安全啦、穩定啦方面的考慮,會給URL長度加限制。可是這個限制是針對全部HTTP請求的,與GET、POST沒有關係。
安全不安全和GET、POST沒有關係
我以爲這真是中國特點。我講個小段子,你們應該能夠體會出這個說法多麼的好笑。
以爲POST數據比GET數據安全的人會說
「防君子不防小人;中國小白多,能防小白用戶就好了。」
「哼,」我不覺得然,「那你怎麼不說,URL參數都Encode過了,或是Base64一下,小白也看不懂啊。」
那人反駁道,「Encode太簡單了,聰明點兒的小白很容易就能夠Decode並修改掉。」
我笑道,「五十步笑百步耳,再聰明點兒的小白還會截包並重發呢,Opera就有這功能。」
那人陰險地祭出神器——最終解釋權,說,「這個不算小白。」
我日啊。
- 1. HTTP 請求方式: GET和POST的比較
- 2. http的get和post請求
- 3. HTTP的POST和GET請求
- 4. HTTP的GET和POST請求
- 5. HTTP請求方式Get和Post區別
- 6. 關於post和get請求
- 7. Get和Post請求方式的區別
- 8. 請求方式get和post的區別
- 9. java http get和post請求
- 10. http 的post 與get請求
- 更多相關文章...
- • HTTP 請求方法 - HTTP 教程
- • PHP 類型比較 - PHP教程
- • Docker容器實戰(八) - 漫談 Kubernetes 的本質
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升級Gradle後報錯Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地環境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中關鍵字前後幾行的內容
- 5. XXE萌新進階全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通過agent監控winserve12
- 8. IT行業UI前景、潛力如何?
- 9. Mac Swig 3.0.12 安裝
- 10. Windows上FreeRDP-WebConnect是一個開源HTML5代理,它提供對使用RDP的任何Windows服務器和工作站的Web訪問