GET和POST是网络编程中,用的最多的请求方式了,但是这两种方式有什么区别,有不少人都不一定能答的上来。看了下面这张图就很明白了。
Paste_Image.png
由于简书的文章宽度限制,折腾了半天,也没法让用markdown写的表格完美显示,只好用了图片.....
其实GET和POST在本质上肯定是没太大区别。通常看到的,POST携带body而GET没有body,并不是他们的区别。因为GET请求也可以携带body,只是看服务器是否处理了。
上面的表格中,到最后还没有结束。因为它们还有另外一个区别:
在浏览器中,GET请求产生一个TCP数据包;POST请求产生两个TCP数据包。
对于GET方式的请求,浏览器会把header和data一并发送出去,服务器响应200(返回数据);
而对于POST,浏览器先发送header,服务器响应100后,continue,浏览器再发送data给服
务器,这样就会发送2次包。所以,POST会相对慢一些,不过POST利用了TCP的传输校验,使得
POST请求更`安全`一些。
不过因为不同的浏览器的处理方式不同,POST并不一定都会发送2次包。比如说Firefox在做POST
请求的时候,就只会发送一次包.
2次 != 2个
不过也不存在POST就一定比GET安全的说法,对于移动端应用来说,POST和GET的区别可以说微乎其微。想要绝对的安全也是不可能的,连HTTPS都不能防止中间人攻击的。
如果用抓包工具,比如charles、wireshark等截获网络请求,所有的请求信息就都暴露了。也许你会发现HTTPS的内容都是乱码,但是这并不是说明HTTPS就一定安全。如果你在你手机上安装一个charles的SSL证书,然后再用charles去抓包,会发现HTTPS的请求也变成明文了。
但是HTTPS还是能防止中间人攻击的,如果你购买了CA机构的证书放到server端,然后在client端对证书进行校验,这样charles等中间人就无法用自己的证书进行加解密,也就无法对你的请求进行修改来伪装成正常的client。
曾经听到有人说socket没办法拦截,这是因为你用的工具(比如说charles)没有这样的功能。如果你用wireshark这样功能强大的工具,会发现所有的请求信息在你的眼前都暴露无遗。
所以说只要是通过网络传输的信息就没有绝对的安全。
其他 HTTP 请求方法
| 方法 | 描述 |
|---|---|
| HEAD | 与GET方法一样,都是向服务器发出指定资源的请求。但是,服务器在响应HEAD请求时只回传资源的摘要信息。 |
| PUT | 向指定资源位置上传其最新内容,PUT方法是幂等的方法。通过该方法客户端可以将指定资源的最新数据传送给服务器取代指定的资源的内容。 |
| DELETE | 请求用于请求服务器删除所请求URI(统一资源标识符,Uniform Resource Identifier)所标识的资源。DELETE请求后指定资源会被删除,DELETE方法也是幂等的。 |
| OPTIONS | 与HEAD类似,一般也是用于客户端查看服务器的性能。 这个方法会请求服务器返回该资源所支持的所有HTTP请求方法,该方法会用'*'来代替资源名称,向服务器发送OPTIONS请求,可以测试服务器功能是否正常。 |
| CONNECT | HTTP/1.1协议预留的,能够将连接改为管道方式的代理服务器。通常用于SSL加密服务器的链接与非加密的HTTP代理服务器的通信。 |
| PATCH | 与PUT请求类似,同样用于资源的更新。但PATCH一般用于资源的部分更新,而PUT一般用于资源的整体更新。当资源不存在时,PATCH会创建一个新的资源,而PUT只会对已在资源进行更新。 |
| TRACE | 请求服务器回显其收到的请求信息,主要用于测试或诊断。 |
