GET和POST之间的区别不应该从安全性的角度来看待，而应该从它们对服务器的意图来看待。GET永远不应该改变服务器上的数据——至少除了日志之外——但是POST可以创建新的资源。

好的代理不会缓存POST数据，但它们可能缓存来自URL的GET数据，因此可以说POST应该更安全。但是POST数据仍然可以用于那些性能不佳的代理。

正如在许多答案中提到的，唯一确定的赌注是通过SSL。

但是一定要确保GET方法不会提交任何更改，比如删除数据库行等等。

修改POST请求更加困难(它需要比编辑查询字符串更多的努力)。编辑:换句话说，它只是通过模糊来保证安全，而且几乎不是这样。

我不打算重复所有其他的答案，但有一个方面我还没有看到提到——那就是数据消失的故事。我不知道去哪里找，但是…

基本上，它是关于一个网络应用程序，每隔几晚就会神秘地丢失所有数据，而且没有人知道原因。检查日志后发现，该网站是由谷歌或其他任意蜘蛛找到的，它很高兴地GET(读:GET)它在网站上找到的所有链接——包括“删除此条目”和“你确定吗?”链接。

事实上，部分已经提到了。这就是“不要在GET上而只在POST上更改数据”背后的故事。爬虫会很高兴地遵循GET，而不是POST。即使robots.txt也不能帮助对抗行为不当的爬虫。

考虑一下这种情况:一个草率的API接受如下GET请求:

http://www.example.com/api?apikey=abcdef123456&action=deleteCategory&id=1

在某些设置中，当您请求此URL时，如果有关于请求的错误/警告，则整行内容将记录在日志文件中。更糟糕的是:如果您忘记禁用生产服务器中的错误消息，则此信息将在浏览器中显示!现在你已经把你的API密钥给了所有人。

不幸的是，有一些真正的API是这样工作的。

我不喜欢在日志中有一些敏感信息或在浏览器中显示它们的想法。POST和GET是不同的。在适当的地方使用它们。

许多人采用一种约定(Ross提到过)，即GET请求只检索数据，不修改服务器上的任何数据，而POST请求用于所有数据修改。虽然其中一种并不比另一种更安全，但如果你遵循这个约定，你可以应用横切安全逻辑(例如，只有拥有帐户的人才可以修改数据，因此未经身份验证的post将被拒绝)。

即使POST与GET相比没有提供真正的安全优势，对于登录表单或任何其他具有相对敏感信息的表单，请确保您使用POST作为:

post的信息不会保存在用户的历史记录中。 表单中发送的敏感信息(密码等)以后将不会在URL栏中可见(通过使用GET，它将在历史记录和URL栏中可见)。

此外，GET有理论上的数据限制。不。

对于真正敏感的信息，请确保使用SSL (HTTPS)