我正在为我们的应用程序开发一个新的RESTful Web服务。
当对某些实体执行GET时,客户端可以请求实体的内容。如果他们想添加一些参数(例如排序列表),可以在查询字符串中添加这些参数。
或者,我希望人们能够在请求主体中指定这些参数。HTTP/1.1似乎并没有明确禁止这一点。这将允许他们指定更多信息,可能会更容易指定复杂的XML请求。
我的问题:
这完全是个好主意吗?HTTP客户端在GET请求中使用请求体时会遇到问题吗?
https://www.rfc-editor.org/rfc/rfc2616
当前回答
我向IETF HTTP工作组提出了这个问题。Roy Fielding(1998年,http://1.1文档的作者)的评论是
“…一个实现将被破坏,无法执行除解析和丢弃该主体之外的任何操作”
RFC 7213(HTTPbis)规定:
“GET请求消息中的有效负载没有定义的语义;”
现在看来很明显,其意图是禁止GET请求体上的语义,这意味着请求体不能用于影响结果。
如果你在GET上包含一个主体,那么有一些代理肯定会以各种方式破坏你的请求。
总之,不要这样做。
其他回答
如果您希望允许带有主体的GET请求,一种方法是支持带有标题“X-HTTP-Method-Override:GET”的POST请求。此处描述如下:https://en.wikipedia.org/wiki/List_of_HTTP_header_fields.这个头意味着当方法是POST时,应该将请求视为GET。POST允许Body,因此您可以确定没有人会丢弃GET请求的有效负载。
此标头通常用于通过一些不识别这些方法的代理生成PATCH或HEAD请求,并用GET替换它们(调试总是很有趣!)。
Elasticsearch接受带有主体的GET请求。甚至似乎这是首选的方法:Elasticsearch指南
一些客户端库(如Ruby驱动程序)可以在开发模式下将cry命令记录到stdout,并且它广泛使用这种语法。
如果您尝试利用缓存,可能会遇到问题。代理不会在GET主体中查看参数是否对响应有影响。
我向IETF HTTP工作组提出了这个问题。Roy Fielding(1998年,http://1.1文档的作者)的评论是
“…一个实现将被破坏,无法执行除解析和丢弃该主体之外的任何操作”
RFC 7213(HTTPbis)规定:
“GET请求消息中的有效负载没有定义的语义;”
现在看来很明显,其意图是禁止GET请求体上的语义,这意味着请求体不能用于影响结果。
如果你在GET上包含一个主体,那么有一些代理肯定会以各种方式破坏你的请求。
总之,不要这样做。
即使一个流行的工具使用了这个,正如本页经常引用的,我认为这仍然是一个非常糟糕的主意,因为它太奇特了,尽管规范没有禁止。
许多中间基础设施可能只是拒绝这样的请求。
例如,忘记在网站前面使用一些可用的CDN,如下图所示:
如果查看器GET请求包含正文,CloudFront将向查看器返回HTTP状态代码403(禁止)。
是的,您的客户端库也可能不支持发出这样的请求,如本文评论中所述。
