为什么删除的请求要使用POST或者DELETE
一、前言
最近在项目开发时遇到这样一个业务请求:一个基础模块的删除操作。当时在写controller时,下意识地写成了下面的样子:
@GetMapping("/deleteById")
public R deleteById (@RequestParam("id") Long id) {
// 相关业务处理
}虽然我没有严格遵循RESTFUL风格的写法,但是使用get请求删除数据还是有些怪怪的!
你肯定看到过这样的文章“新公司要求接口全部适用POST请求”、“同事因为一个GET请求造成线上Blocker级BUG”。这些问题都最终指向了一个最终的交汇点:Get请求真的那么的不安全吗?为什么?
二、GET,DELETE,PUT和POST
2.1、GET请求
2.2、POST请求
2.3、PUT请求
2.4、DELETE请求
三、GET请求是真正安全的吗?
上面已经写到GET请求是安全且幂等的了,为什么还会有这样个疑问呢?其实上面的描述是严格准守RESTFUL风格的写法,GET请求仅用于获取数据信息,但是你的get请求如果肩负起了除此之外的功能的时候就需要特别注意了!
3.1、 get请求携带重要信息
由于get请求是直接显示在地址栏的,如果请求携带了敏感信息,会有暴露的风险。
PS: 你刚登陆完一个网站,在跳转到个人中心时,地址栏就把你的密码、银行卡号、余额等信息赤裸裸地展示在了地址栏上面...
3.2、容易被劫持、盗刷
如果你的网站安全需求度高,且关键操作使用了GET请求,则给自己增加了隐患。
PS: 删除数据的接口是使用GET请求,我直接从地址栏中拿到连接,给你从0到999的数据都请求一遍,甚至写个脚本无限请求...
3.3、请求内容限制
GET请求是有长度限制的,相较于POST请求,它的携带数据会更小
3.4、其他安全隐患
再如上面的情况,你的一个删除的接口使用了GET请求,又恰巧被爬虫访问、或是被收录了。这就...
四、后记
说了这么多,我们可以总结如下:
① GET请求无罪,关键还是怎么去使用它
② 不推荐GET请求肩负起获取信息之外的功能操作
③ 如果对安全等级要求过高,慎用GET请求
赞 (0)