HTTP中GET方法和POST方法的区别

作者 祝一迪 | 发表于 | 分类于 2015级

为什么突然想要分析一下GET和POST方法的区别呢,是因为最近在写小组的图书管理系统。这个项目的第一版已经基本写完了,但是仍有一些小bug让我想不明白。比如其中的一个bug:
用户在图书详情页对该图书进行评价,评价成功之后刷新页面,将会在刷新的那一刻再次提交评论内容,刷新多次则会提交多次。
今天不经意间终于搞明白了这个bug,问题就出在这GET和POST上!

bug复现

先来看一下评论部分的JSP页面代码:

<div>
    <form action="/addComments.do?bookid=<%=bookid%>" method="post">
        <div>
            <center>
                <textarea cols="50" rows="5" style="width:300px;" name="detail" placeholder="想说点什么?"></textarea>
            </center>
        </div>
        <br>
        <br>

        <div>
            <input class="ui-dialog-submit" type="submit" name="add" value="提交评论" />
        </div>
    </form>
</div>

在以上代码中,我在form表单中使用的方法为POST,这就是罪魁祸首了。
在POST方法中,点击后退/刷新按钮,数据会被重新提交(浏览器应该告知用户数据会被重新提交)。事实上,浏览器确实在我点击刷新页面时会有弹框提示,由于提示内容为英文,我以为是一般的“离开当前页面信息将不会被保存”这样的提醒(论英语的重要性),于是忽略掉了,导致了这样的bug。
而在GET中,点击后退/刷新按钮并不会产生任何后果,只是刷新当前页面的显示信息。那么下面来具体谈一下GET和POST的相同之处和不同之处。

GET和POST的区别

GET方法:用来获取已被URI识别的资源的数据。它主要是用来请求数据,虽然它也可以用来提交数据,但是在提交数据这方面,GET方法有很大的局限性。

POST方法:用来向指定的资源提交被处理的数据。

下面来看他们的具体区别:

GET POST
后退/刷新按钮 无影响 数据会被重新提交
书签 可收藏为书签 不可收藏为书签
缓存 能被缓存 不能被缓存
编码类型 application/x-www-form-urlencoded application/x-www-form-urlencoded 或 multipart/form-data 为二进制数据使用多重编码
历史 参数保留在浏览器历史中 参数不会保留在浏览器历史中
对数据长度的限制 发送的数据连同URL最多2048个字符 没有限制
对数据类型的限制 只允许ASCII字符 没有限制
安全性 安全性差,因为发送的数据是URL的一部分 安全性好,因为参数不会被保存在浏览器历史中或web服务器日志中
可见性 所发送的数据是暴露在URL中的,是被所有人可见的 数据被封装到HTTP body中,是不可见的

在以上的对比中, 关于编码类型要解释说明一下:

form元素的enctype属性用来指定将数据回发到服务器时的编码类型, enctype有以下几种类型:

  • application/x-www-form-urlencoded(常用): 窗体数据被编码为名称/值对。这是标准的编码格式
  • multipart/form-data(常用): 窗体数据被编码为一条消息,页上的每个控件对应消息中的一个部分

  • text/plain(不常用): 窗体数据以纯文本形式进行编码,其中不含任何控件或格式字符

    当method为GET时, 浏览器采用application/x-www-form-urlencoded编码方式, 将form表单里的数据转换成一个字符串, 然后将这个字符串追加到URL后面. 这也意味着, 数据是被暴露在地址栏中的, 也是不安全的.

    当method为POST时, 浏览器会把form表单中的数据封装到HTTP body中, 然后再发送到服务器, 整个过程中, 数据是封闭的, 不被外界知道的. 如果没有type为file的控件, 用默认的application/x-www-form-urlencoded就可以了. 但是如果有type=file的话, 就要用到multipart/form-data了. 浏览器会把整个表单以控件为单位分割, 并为每个部分加上Content-Disposition(就是当用户想把请求所得的内容存为一个文件的时候提供一个默认的文件名, 为form-data或者file), Content-Type(默认为text/plain),name(控件name)等信息,并加上分割符(boundary)。

通过上述说明, 大家可能会认为, 以后用form表单提交数据时, 都应该使用POST, 因为安全性好, 封闭性好嘛. 但是! 千万不要这样想! 具体要使用哪种method, 一定要根据具体情况而定, 盲目地在所有form表单使用POST方法, 就可能会导致我这样的bug .希望大家能吸取经验~