如果有人問你,GET和POST�,有什么區(qū)別?你會如何回答���?
真實(shí)案例
前幾天有人問我這個(gè)問題��。我說GET是用于獲取數(shù)據(jù)的��,POST��,一般用于將數(shù)據(jù)發(fā)給服務(wù)器之用��。
這個(gè)答案好像并不是他想要的�。于是他繼續(xù)追問有沒有別的區(qū)別?我說這就是個(gè)名字而已�,如果服務(wù)器支持,他完全可以把GET改個(gè)名字叫GET2���。他反問道���,那就是單純的名字上的區(qū)別嘍?我想了想���,我覺得如果說再具體的區(qū)別�,只能去看RFC文檔了����,還要取決于服務(wù)器(指Apache�,IIS)的具體實(shí)現(xiàn)����。但我不得不承認(rèn),我的確沒有仔細(xì)看過HTTP的RFC文檔����。于是我說,我對HTTP協(xié)議不太熟悉�。這個(gè)問題也就結(jié)束了。
最普遍的答案
回來之后尋思了很久��,他到底是想問我什么��?我一直就覺得GET和POST沒有什么除了語義之外的區(qū)別���,自打我開始學(xué)習(xí)Web編程開始就是這么理解的��。
可能很多人都已經(jīng)猜到了���,他要的答案是:
1. GET使用URL或Cookie傳參��。而POST將數(shù)據(jù)放在BODY中�����。
2. GET的URL會有長度上的限制,則POST的數(shù)據(jù)則可以非常大���。
3. POST比GET安全����,因?yàn)閿?shù)據(jù)在地址欄上不可見��。
但是很不幸����,這些區(qū)別全是錯(cuò)誤的,更不幸的是���,這個(gè)答案還是Google搜索的頭版頭條��,然而我根本沒想著這些是答案�����,因?yàn)樵谖铱磥硭麄兌际清e(cuò)的����。我來一一解釋一下。
GET和POST與數(shù)據(jù)如何傳遞沒有關(guān)系
GET和POST是由HTTP協(xié)議定義的��。在HTTP協(xié)議中���,Method和Data(URL�, Body�, Header)是正交的兩個(gè)概念,也就是說���,使用哪個(gè)Method與應(yīng)用層的數(shù)據(jù)如何傳輸是沒有相互關(guān)系的��。
HTTP沒有要求�����,如果Method是POST數(shù)據(jù)就要放在BODY中�����。也沒有要求����,如果Method是GET,數(shù)據(jù)(參數(shù))就一定要放在URL中而不能放在BODY中���。
那么,網(wǎng)上流傳甚廣的這個(gè)說法是從何而來的呢��?我在HTML標(biāo)準(zhǔn)中����,找到了相似的描述。這和網(wǎng)上流傳的說法一致�����。但是這只是HTML標(biāo)準(zhǔn)對HTTP協(xié)議的用法的約定�����。怎么能當(dāng)成GET和POST的區(qū)別呢��?
而且����,現(xiàn)代的Web Server都是支持GET中包含BODY這樣的請求。雖然這種請求不可能從瀏覽器發(fā)出�,但是現(xiàn)在的Web Server又不是只給瀏覽器用,已經(jīng)完全地超出了HTML服務(wù)器的范疇了�。
知道這個(gè)有什么用�?我不想解釋了�����,有時(shí)候就得自己痛一次才記得住���。
HTTP協(xié)議對GET和POST都沒有對長度的限制
HTTP協(xié)議明確地指出了����,HTTP頭和Body都沒有長度的要求����。而對于URL長度上的限制,有兩方面的原因造成:
1. 瀏覽器���。據(jù)說早期的瀏覽器會對URL長度做限制�。據(jù)說IE對URL長度會限制在2048個(gè)字符內(nèi)(流傳很廣�����,而且無數(shù)同事都表示認(rèn)同)���。但我自己試了一下�����,我構(gòu)造了90K的URL通過IE9訪問live.com���,是正常的。網(wǎng)上的東西����,哪怕是Wikipedia上的,也不能信�����。
2. 服務(wù)器���。URL長了�,對服務(wù)器處理也是一種負(fù)擔(dān)�。原本一個(gè)會話就沒有多少數(shù)據(jù),現(xiàn)在如果有人惡意地構(gòu)造幾個(gè)幾M大小的URL����,并不停地訪問你的服務(wù)器。服務(wù)器的最大并發(fā)數(shù)顯然會下降。另一種攻擊方式是���,把告訴服務(wù)器Content-Length是一個(gè)很大的數(shù)�����,然后只給服務(wù)器發(fā)一點(diǎn)兒數(shù)據(jù)����,嘿嘿�����,服務(wù)器你就傻等著去吧�。哪怕你有超時(shí)設(shè)置,這種故意的次次訪問超時(shí)也能讓服務(wù)器吃不了兜著走���。有鑒于此�����,多數(shù)服務(wù)器出于安全啦����、穩(wěn)定啦方面的考慮,會給URL長度加限制���。但是這個(gè)限制是針對所有HTTP請求的��,與GET�����、POST沒有關(guān)系����。
安全不安全和GET�����、POST沒有關(guān)系
我覺得這真是中國特色�。我講個(gè)小段子�����,大家應(yīng)該可以體會出這個(gè)說法多么的可笑�����。
覺得POST數(shù)據(jù)比GET數(shù)據(jù)安全的人會說
“防君子不防小人;中國小白多����,能防小白用戶就行了?!?/p>
“哼,”我不以為然����,“那你怎么不說,URL參數(shù)都Encode過了��,或是Base64一下���,小白也看不懂啊��?!?/p>
那人反駁道���,“Encode太簡單了�����,聰明點(diǎn)兒的小白很容易就可以Decode并修改掉�����?���!?/p>
我笑道,“五十步笑百步耳�����,再聰明點(diǎn)兒的小白還會截包并重發(fā)呢�,Opera就有這功能?���!?/p>
那人陰險(xiǎn)地祭出神器——最終解釋權(quán)��,說�,“這個(gè)不算小白?���!?/p>
我日啊。
最后一點(diǎn)兒感想
我之前一直做Windows桌面應(yīng)用����,對Web開發(fā)無甚了解�����,直到一年多前轉(zhuǎn)做服務(wù)器端開發(fā)����,才開始接觸到HTTP�。(注意,我說的是HTTP�,不是HTML。服務(wù)器開放接口是基于REST理念設(shè)計(jì)的�����,使用的協(xié)議是HTTP��,但是傳輸?shù)膬?nèi)容不是HTML��。這不是Web Server����,而是一個(gè)Web Service)
所以我對于GET和POST的理解,是純粹地來源于HTTP協(xié)議����。他們只有一點(diǎn)根本區(qū)別���,簡單點(diǎn)兒說,一個(gè)用于獲取數(shù)據(jù)�����,一個(gè)用于修改數(shù)據(jù)�。具體的請參考RFC文檔。
如果一個(gè)人一開始就做Web開發(fā)�����,很可能把HTML對HTTP協(xié)議的使用方式���,當(dāng)成HTTP協(xié)議的唯一的合理使用方式�����。從而犯了以偏概全的錯(cuò)誤。
可能有人會覺得我鉆牛角尖���。我只是不喜歡模棱兩可���,不喜歡邊界不清���、概念不明,不喜歡“拿來主義”���,也不喜歡被其它喜歡鉆牛角尖的人奚落得無地自容�����。
內(nèi)容查閱自網(wǎng)絡(luò)����,時(shí)間有些久遠(yuǎn)��,若有雷同實(shí)屬見諒~~
本文參考鏈接:
1. HTTP協(xié)議 https://www.w3.org/Protocols/rfc2616/rfc2616.html
2.HTML標(biāo)準(zhǔn) https://www.w3.org/TR/REC-html40/interact/forms.html#h-17.13.1
您可能感興趣的文章:- Get方法和Post方法的區(qū)別深入理解
- HTTP中g(shù)et和post的區(qū)別詳解
- java發(fā)送get請求和post請求示例
- HTTP請求 GET與POST方法的區(qū)別
- http中g(shù)et請求與post請求區(qū)別分析
