一、前言

最近在项目开发时遇到这样一个业务请求：一个基础模块的删除操作。当时在写controller时，下意识地写成了下面的样子：

    @GetMapping("/deleteById")
    public R deleteById (@RequestParam("id") Long id) {
        // 相关业务处理
    }

虽然我没有严格遵循RESTFUL风格的写法，但是使用get请求删除数据还是有些怪怪的！

你肯定看到过这样的文章“新公司要求接口全部适用POST请求”、“同事因为一个GET请求造成线上Blocker级BUG”。这些问题都最终指向了一个最终的交汇点：Get请求真的那么的不安全吗？为什么？

二、GET，DELETE，PUT和POST

2.1、GET请求

2.2、POST请求

2.3、PUT请求

2.4、DELETE请求

三、GET请求是真正安全的吗？

上面已经写到GET请求是安全且幂等的了，为什么还会有这样个疑问呢？其实上面的描述是严格准守RESTFUL风格的写法，GET请求仅用于获取数据信息，但是你的get请求如果肩负起了除此之外的功能的时候就需要特别注意了！

3.1、 get请求携带重要信息

由于get请求是直接显示在地址栏的，如果请求携带了敏感信息，会有暴露的风险。

PS: 你刚登陆完一个网站，在跳转到个人中心时，地址栏就把你的密码、银行卡号、余额等信息赤裸裸地展示在了地址栏上面...

3.2、容易被劫持、盗刷

如果你的网站安全需求度高，且关键操作使用了GET请求，则给自己增加了隐患。

PS: 删除数据的接口是使用GET请求，我直接从地址栏中拿到连接，给你从0到999的数据都请求一遍，甚至写个脚本无限请求...

3.3、请求内容限制

GET请求是有长度限制的，相较于POST请求，它的携带数据会更小

3.4、其他安全隐患

再如上面的情况，你的一个删除的接口使用了GET请求，又恰巧被爬虫访问、或是被收录了。这就...

四、后记

说了这么多，我们可以总结如下：

① GET请求无罪，关键还是怎么去使用它

② 不推荐GET请求肩负起获取信息之外的功能操作

③ 如果对安全等级要求过高，慎用GET请求