作者：南柯之石

鏈接：http://www.cnblogs.com/nankezhishi/archive/2012/06/09/getandpost.html

如果有人問(wèn)你,，GET和POST,，有什么區(qū)別？你會(huì)如何回答,？

我的經(jīng)歷

前幾天有人問(wèn)我這個(gè)問(wèn)題,。我說(shuō)GET是用于獲取數(shù)據(jù)的,，POST，一般用于將數(shù)據(jù)發(fā)給服務(wù)器之用,。

這個(gè)答案好像并不是他想要的,。于是他繼續(xù)追問(wèn)有沒(méi)有別的區(qū)別？我說(shuō)這就是個(gè)名字而已,，如果服務(wù)器支持,，他完全可以把GET改個(gè)名字叫GET2。他反問(wèn)道,，那就是單純的名字上的區(qū)別嘍,？我想了想，我覺(jué)得如果說(shuō)再具體的區(qū)別,，只能去看RFC文檔了,，還要取決于服務(wù)器（指Apache，IIS）的具體實(shí)現(xiàn),。但我不得不承認(rèn),，我的確沒(méi)有仔細(xì)看過(guò)HTTP的RFC文檔。于是我說(shuō),，我對(duì)HTTP協(xié)議不太熟悉,。這個(gè)問(wèn)題也就結(jié)束了。

最普遍的答案

回來(lái)之后尋思了很久,，他到底是想問(wèn)我什么,？我一直就覺(jué)得GET和POST沒(méi)有什么除了語(yǔ)義之外的區(qū)別，自打我開(kāi)始學(xué)習(xí)Web編程開(kāi)始就是這么理解的,。

可能很多人都已經(jīng)猜到了,，他要的答案是：

1. GET使用URL或Cookie傳參。而POST將數(shù)據(jù)放在BODY中,。

2. GET的URL會(huì)有長(zhǎng)度上的限制，則POST的數(shù)據(jù)則可以非常大,。

3. POST比GET安全,，因?yàn)閿?shù)據(jù)在地址欄上不可見(jiàn)。

但是很不幸,，這些區(qū)別全是錯(cuò)誤的,，更不幸的是，這個(gè)答案還是Google搜索的頭版頭條,，然而我根本沒(méi)想著這些是答案,，因?yàn)樵谖铱磥?lái)他們都是錯(cuò)的。我來(lái)一一解釋一下,。

GET和POST與數(shù)據(jù)如何傳遞沒(méi)有關(guān)系

GET和POST是由HTTP協(xié)議定義的,。在HTTP協(xié)議中,，Method和Data（URL， Body,， Header）是正交的兩個(gè)概念,，也就是說(shuō)，使用哪個(gè)Method與應(yīng)用層的數(shù)據(jù)如何傳輸是沒(méi)有相互關(guān)系的,。

HTTP沒(méi)有要求,，如果Method是POST數(shù)據(jù)就要放在BODY中。也沒(méi)有要求,，如果Method是GET,，數(shù)據(jù)（參數(shù)）就一定要放在URL中而不能放在BODY中。

那么,，網(wǎng)上流傳甚廣的這個(gè)說(shuō)法是從何而來(lái)的呢,？我在HTML標(biāo)準(zhǔn)中，找到了相似的描述,。這和網(wǎng)上流傳的說(shuō)法一致,。但是這只是HTML標(biāo)準(zhǔn)對(duì)HTTP協(xié)議的用法的約定。怎么能當(dāng)成GET和POST的區(qū)別呢,？

而且,，現(xiàn)代的Web Server都是支持GET中包含BODY這樣的請(qǐng)求。雖然這種請(qǐng)求不可能從瀏覽器發(fā)出,，但是現(xiàn)在的Web Server又不是只給瀏覽器用,，已經(jīng)完全地超出了HTML服務(wù)器的范疇了。

知道這個(gè)有什么用,？我不想解釋了,，有時(shí)候就得自己痛一次才記得住。

HTTP協(xié)議對(duì)GET和POST都沒(méi)有對(duì)長(zhǎng)度的限制

HTTP協(xié)議明確地指出了,，HTTP頭和Body都沒(méi)有長(zhǎng)度的要求,。而對(duì)于URL長(zhǎng)度上的限制，有兩方面的原因造成：

1. 瀏覽器,。據(jù)說(shuō)早期的瀏覽器會(huì)對(duì)URL長(zhǎng)度做限制,。據(jù)說(shuō)IE對(duì)URL長(zhǎng)度會(huì)限制在2048個(gè)字符內(nèi)（流傳很廣，而且無(wú)數(shù)同事都表示認(rèn)同）,。但我自己試了一下,，我構(gòu)造了90K的URL通過(guò)IE9訪問(wèn)live.com，是正常的,。網(wǎng)上的東西,，哪怕是Wikipedia上的，也不能信。

2. 服務(wù)器,。URL長(zhǎng)了,，對(duì)服務(wù)器處理也是一種負(fù)擔(dān)。原本一個(gè)會(huì)話就沒(méi)有多少數(shù)據(jù),，現(xiàn)在如果有人惡意地構(gòu)造幾個(gè)幾M大小的URL,，并不停地訪問(wèn)你的服務(wù)器。服務(wù)器的最大并發(fā)數(shù)顯然會(huì)下降,。另一種攻擊方式是,，把告訴服務(wù)器Content-Length是一個(gè)很大的數(shù)，然后只給服務(wù)器發(fā)一點(diǎn)兒數(shù)據(jù),，嘿嘿,，服務(wù)器你就傻等著去吧。哪怕你有超時(shí)設(shè)置,，這種故意的次次訪問(wèn)超時(shí)也能讓服務(wù)器吃不了兜著走,。有鑒于此，多數(shù)服務(wù)器出于安全啦,、穩(wěn)定啦方面的考慮,，會(huì)給URL長(zhǎng)度加限制。但是這個(gè)限制是針對(duì)所有HTTP請(qǐng)求的,，與GET,、POST沒(méi)有關(guān)系。

安全不安全和GET,、POST沒(méi)有關(guān)系

我覺(jué)得這真是中國(guó)特色,。我講個(gè)小段子，大家應(yīng)該可以體會(huì)出這個(gè)說(shuō)法多么的可笑,。

覺(jué)得POST數(shù)據(jù)比GET數(shù)據(jù)安全的人會(huì)說(shuō)

  “防君子不防小人,；中國(guó)小白多，能防小白用戶就行了,?！?/p>

“哼，”我不以為然,，“那你怎么不說(shuō),，URL參數(shù)都Encode過(guò)了，或是Base64一下,，小白也看不懂啊?！?/p>

那人反駁道,，“Encode太簡(jiǎn)單了，聰明點(diǎn)兒的小白很容易就可以Decode并修改掉?！?/p>

我笑道,，“五十步笑百步耳，再聰明點(diǎn)兒的小白還會(huì)截包并重發(fā)呢,，Opera就有這功能,。”

那人陰險(xiǎn)地祭出神器——最終解釋權(quán),，說(shuō),，“這個(gè)不算小白?！?/p>

我日啊,。

最后一點(diǎn)兒感想

我之前一直做Windows桌面應(yīng)用，對(duì)Web開(kāi)發(fā)無(wú)甚了解,，直到一年多前轉(zhuǎn)做服務(wù)器端開(kāi)發(fā),，才開(kāi)始接觸到HTTP。（注意,，我說(shuō)的是HTTP,，不是HTML。服務(wù)器開(kāi)放接口是基于REST理念設(shè)計(jì)的,，使用的協(xié)議是HTTP,，但是傳輸?shù)膬?nèi)容不是HTML。這不是Web Server,，而是一個(gè)Web Service）

所以我對(duì)于GET和POST的理解,，是純粹地來(lái)源于HTTP協(xié)議。他們只有一點(diǎn)根本區(qū)別,，簡(jiǎn)單點(diǎn)兒說(shuō),，一個(gè)用于獲取數(shù)據(jù)，一個(gè)用于修改數(shù)據(jù),。具體的請(qǐng)參考RFC文檔,。

如果一個(gè)人一開(kāi)始就做Web開(kāi)發(fā)，很可能把HTML對(duì)HTTP協(xié)議的使用方式,，當(dāng)成HTTP協(xié)議的唯一的合理使用方式,。從而犯了以偏概全的錯(cuò)誤。

可能有人會(huì)覺(jué)得我鉆牛角尖,。我只是不喜歡模棱兩可,，不喜歡邊界不清、概念不明,，不喜歡“拿來(lái)主義”,，也不喜歡被其它喜歡鉆牛角尖的人奚落得無(wú)地自容,。

“知之為知之，不知為不知,，是知也,。”