MVC HttpGet和HttpPost

Question

最近我参加了一个关于mvc的培训。培训师说--出于安全考虑，我们必须使用HttpPost而不是HttpGet。始终使用HttpPost。

谁能解释一下--当我们使用HttpGet的时候，安全问题是什么？

Answer 1

当通过安全连接(https)传输数据时，post请求的正文是加密的，实际上是可怕的，您只能看到数据要去的地址，而不能看到数据本身。另一方面，Get没有正文，数据必须以查询字符串或路径参数的形式传输。虽然查询字符串确实也会被加密，但由于服务器和浏览器上的请求日志记录，因此有可能获得该数据。

Answer 2

任何人都可以在公共论坛或stackoverflow上插入带有链接到您的网站的图像。然后会发生以下情况：

1. Browser查看图像中的url标记
2. Browser查找与url中的域相对应的cookies
3. Browser使用用户
4. 的cookies向url发送请求您的服务器将执行操作
5. 浏览器尝试将响应解析为图像，而url呈现错误而不是图像

但是如果你只将你的操作标记为Http Post，那么这个场景就不适用于90%的站点。但你也应该考虑到，如果黑客可以在其他网站上创建一个表单，那么他仍然可以让浏览器执行请求。所以你需要CSRF。浏览器为防止跨站点请求做了很多工作，但在某些情况下仍然是可能的。