为什么删除的请求要使用POST或者DELETE

2021-11-30 16:28:15  晓掌柜  版权声明:本文为站长原创文章,转载请写明出处


一、前言

    最近在项目开发时遇到这样一个业务请求:一个基础模块的删除操作。当时在写controller时,下意识的写成了下面的样子:


@GetMapping("/deleteById")
public R deleteById (@RequestParam("id") Long id) {
// 相关业务处理
}

    虽然我没有严格遵循RESTFUL风格的写法,但是使用get请求删除数据还是有些怪怪的!

    你肯定看到过这样的文章“新公司要求接口全部适用POST请求”、“同事因为一个GET请求造成线上Blocker级BUG”。这些问题都最终指向了一个最终的交汇点:Get请求真的那么的不安全吗?为什么?

二、GET,DELETE,PUT和POST

    2.1、GET请求

        

    2.2、POST请求

        

    2.3、PUT请求

        

    2.4、DELETE请求

        

三、GET请求是真正安全的吗?

    上面已经写到GET请求是安全且幂等的了,为什么还会有这样个疑问呢?其实上面的描述是严格准守RESTFUL风格的写法,GET请求仅用于获取数据信息,但是你的get请求如果肩负起了除此之外的功能的时候就需要特别注意了!

    3.1、 get请求携带重要信息

        由于get请求是直接显示在地址栏的,如果请求携带了敏感信息,会有暴露的风险。

        PS: 你刚登陆完一个网站,在跳转到个人中心时,地址栏就把你的密码、银行卡号、余额等信息赤裸裸的展示在了地址栏上面...

    3.2、容易被劫持、盗刷

        如果你的网站安全需求度高,且关键操作使用了GET请求,则给自己增加了隐患。

        PS: 删除数据的接口是使用GET请求,我直接从地址栏中拿到连接,给你从0到999的数据都请求一遍,甚至写个脚本无限请求...

    3.3、请求内容限制

        GET请求是有长度限制的,相较于POST请求,它的携带数据会更小

    3.4、其他安全隐患

        再如上面的情况,你的一个删除的接口使用了GET请求,又恰巧被爬虫访问、或是被收录了。这就...

四、后记

    说了这么多,我们可以总结如下:

    ① GET请求无罪,关键还是怎么去使用它

    ② 不推荐GET请求肩负起获取信息之外的功能操作

    ③ 如果对安全等级要求过高,慎用GET请求



最新评论: