GET和POST是两种最常被用到,客户端(浏览器)和服务器之间进行HTTP请求-响应的方法。其它的方法还有PUT、DELETE等。
GET与POST两者的主要区别在于:
1. 提交请求数据的方式不同
根据HTTP协议规范,GET会把请求数据附加在URL之后,以?分割URL地址和传输数据,参数与参数之间以&连接,请求数据会明文展示在地址栏。同时,GET的请求数据有可能会被浏览器缓存,并保留在浏览器历史记录中。
/test/demo_form.asp?name1=value1&name2=value2
POST发送请求数据时,URL不会发生变化,请求数据是放置在HTTP包的包体中。所以它的请求数据不会被缓存,也不会保留在浏览器历史记录中。
POST /test/demo_form.asp HTTP/1.1
Host: w3schools.com
name1=value1&name2=value2
2. 数据大小限制
GET请求会将请求数据附加在URL,那么GET能提交的数据量就跟URL的长度有直接关系了。实际上,URL不存在参数上限的问题,HTTP协议规范没有对URL长度进行限制。但是特定的浏览器及服务器会对URL长度有所限制。
POST没有大小限制,HTTP协议规范也没有对它进行大小限制,起限制作用的是服务器的处理程序的处理能力。
3. 服务器端获取方式不一样
- 服务器端获取GET请求数据用request.querystring("");
- POST请求数据用request.form("")获取。
两种方法都可以统一用request("")来获取数据,但是request对象处理表单域时存在数据长度限制,不推荐使用。
4.POST安全性高于GET
GET方法会将请求数据附加在URL,明文展示请求数据,登录页面有可能被浏览器缓存,其他人查看浏览器的历史记录,就可以获取信息。另外,GET还会造成crsf攻击。
GET请求一般只应当用于取回数据。GET仅仅用于获取信息是安全的,一般不会产生副作用。
在form中,method默认是GET,对资源的增删改查,都可以用GET/POST,实际上它们只是发送机制不同而已。不过POST的安全性要高于GET,并且,用到POST必须要用到form。
什么是cross-site request forgery
Cross-site request forgery:跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相 左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其 进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。示例和特性
CSRF攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户 Alice 也在此论坛中,并且后刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接, 并将此链接作为图片tag。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的浏览器尝试装载图片时将提交 这个取款form和他的cookie,这样在没经Bob同意的情况下便授权了这次事务。
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击(deputy attack)。在上面银行示例中的代理人是Bob的web浏览器,它被混淆后误将Bob的授权直接交给了Alice使用。
http://www.cnblogs.com/wlemory/p/4601928.html
http://www.cnblogs.com/hyddd/archive/2009/03/31/1426026.html
https://blog.csdn.net/qq_33915126/article/details/50665769
http://www.w3school.com.cn/tags/html_ref_httpmethods.asp
