网站首页 > 文章精选正文

为什么删除的请求要使用POST或者DELETE

balukai 2025-06-15 14:22:33 文章精选 3 ℃

最近在项目开发时遇到这样一个业务请求：一个基础模块的删除操作。当时在写controller时，下意识地写成了下面的样子：


    @GetMapping("/deleteById")
    public R deleteById (@RequestParam("id") Long id) {
        // 相关业务处理
    }

虽然我没有严格遵循RESTFUL风格的写法，但是使用get请求删除数据还是有些怪怪的！

你肯定看到过这样的文章“新公司要求接口全部适用POST请求”、“同事因为一个GET请求造成线上Blocker级BUG”。这些问题都最终指向了一个最终的交汇点：Get请求真的那么的不安全吗？为什么？

上面已经写到GET请求是安全且幂等的了，为什么还会有这样个疑问呢？其实上面的描述是严格准守RESTFUL风格的写法，GET请求仅用于获取数据信息，但是你的get请求如果肩负起了除此之外的功能的时候就需要特别注意了！

由于get请求是直接显示在地址栏的，如果请求携带了敏感信息，会有暴露的风险。

PS: 你刚登陆完一个网站，在跳转到个人中心时，地址栏就把你的密码、银行卡号、余额等信息赤裸裸地展示在了地址栏上面...

如果你的网站安全需求度高，且关键操作使用了GET请求，则给自己增加了隐患。

PS: 删除数据的接口是使用GET请求，我直接从地址栏中拿到连接，给你从0到999的数据都请求一遍，甚至写个脚本无限请求...

GET请求是有长度限制的，相较于POST请求，它的携带数据会更小

再如上面的情况，你的一个删除的接口使用了GET请求，又恰巧被爬虫访问、或是被收录了。这就...

说了这么多，我们可以总结如下：

① GET请求无罪，关键还是怎么去使用它

② 不推荐GET请求肩负起获取信息之外的功能操作

③ 如果对安全等级要求过高，慎用GET请求