谈及GET和POST本质上的区别,不得不说起HTTP。HTTP最早被用来做浏览器与服务器之间交互HTML和表单的通讯协议;后来又被广泛的扩充到接口格式的定义上。因此,在讨论GET、POST区别的时候,我们可以根据场景应用而定:浏览器使用的GET、POST或者是HTTP作为接口传输协议。
浏览器的GET、POST。
在这里的场景特指浏览器中的非ajax的HTTP请求,即从HTML和浏览器诞生就一直使用的HTTP协议中的GET、POST。浏览器用GET请求获取一个html页面、图片、css、js等资源;用POST来提交一个<form>表单,并得到一个结果的网页。
GET:“读取”一个资源。比如get到一个html文件。因为GET是读取,就可以对GET请求的数据做缓存。这个缓存可以做到浏览器本身上(彻底避免浏览器发送请求),也可以做到代理上(如node),或者做到server端(用Etag)。
POST:在页面中的<form>标签会定义一个表单。点击表单中的submit元素会发出一个POST请求让服务器做一件事。
接口中的GET、POST。
这里指的是通过浏览器的Ajax Api,postman之类的工具发出来的GET和POST请求。此时GET和POST不光能用在前端和后端的交互中,还能用在后端各个子服务的调用中。
在这里介绍一下HTTP请求的格式:
<METHOD><URL> HTTP/1.1
<Header1>: <HeaderValue1>
<Header2>: <HeaderValue2>
...
<HeaderN>: <HeaderValueN>
<Body Data...>
其中“<METHOD>”可以是GET也可以是POST,或者是其他HTTP Method,如PUT、DELETE、OPTION等。
关于安全性。
经常听到GET不如POST安全,这是因为POST用body传输数据,而GET用url传输,更加容易看到。但是从攻击角度出发,无论是GET还是POST请求都不安全,因为HTTP本身是明文协议。每个HTTP请求和返回的每个byte都会在网络上传播,不管是url,header还是body。
为了避免在传输过程中数据被劫持,我们必须从客户端到服务端加密。这就是HTTPS(使用SSL协议协商出密钥加明文的http数据)。
GET请求的参数更倾向于放在url上,因此会有更多的机会被泄露。比如携带私密信息的url会展示到地址栏上,还可以分享给第三方,因此很不安全。此外,从客户端到服务器端,有大量的中间节点,包括网关,代理等。他们的access log通常会输出完整的url。如果url上携带敏感数据,就会被记录下来。但是,即使敏感数据在body里,也会被记录下来的,因此如果请求要经过不信任的公网,避免泄密的唯一手段就是https。但是,一般情况下,私密数据传输用POST+body就好。
关于编码。
常见的说法有:GET的参数只能支持ASCII,而POST能支持任意binary,包括中文。