post真的安全么?

经常听到有人这样说，Post比Get更安全，似乎这种想法充满了整个网络，带给人根深蒂固的影响，但是Post真的比Get更安全么？

Http请求方式

Http请求发送方式常用的就是以下两种：

①     Get机制

②     Post机制

Get机制

Get机制的限制，比如最大1024字节，这个略去不表，Get最大的特点是提交时将参数通过url来发送。

Post机制

Post机制，实际是将数据http的数据部分，只不过不在url里面显示罢了。

请求举例

Get机制

例如：请求这个url: http://topic.csdn.net/u/20121016/08/2f7960fd-31bd-44ee-bec5-ed297af60039.html?seed=996321166&r=79901963

可以看出这是明显的get方式，有参数，通过chome浏览器得到

  

从url里面就可以得到数值，但是如果是底层的调用，比如ajax请求，就不会在浏览器的地址栏中有显示，比如下面的请求：

 

Post机制

比如：博客园的登录请求：

http://passport.cnblogs.com/login.aspx?ReturnUrl=http%3a%2f%2fwww.cnblogs.com%2f

通过浏览器得到：

 

可以看到，这是post请求，并且地址栏里是没有参数信息，更没有密码等等信息，但是往下看，没错，Post请求一样，是将内容以明文的方式在传输，以下通过wireshark截包来看：

 

数据包的发送，如下： 

 

上图蓝色部分是Post的数据部分，post其实只是将数据写到了http尾部，如此而已。所以此处从安全上来讲，与不显示的后端ajax的Get请求，其实在安全性上是一样的。所以post更安全么，不见得，因为post的设计之初，本来就不是为了安全而来的。

扩展一下

Ajax跨域

不让ajax跨域，这样就来得合理了，因为如果允许跨域，那只需要写几行js代码，这样就会造成重要信息（比如密码）的泄漏。

Tcp连接个数

现代的浏览器，为了加快下载（加载）速度，已经将RFC文档里面的”should be at most 2 connections”中的should理解的出神入化，因为RFC里面仅仅是should而不是must，所以现代的浏览器同时允许建立的tcp连接一般是超过2个tcp连接的。

Tcp协议

就像上篇TCP连接检测里面提到的那样，“tcp只是数据的发送与接收，包括握手，断开以及rst，time_wait，close_wait 等等。“，Http同样如果，知道协议，其实自己写一个简单的IIS真不费力。

最后

前面提到，TCP的连接个数，说到这里突然想到了一个问题，同时也再深入的扩展一下，为什么一台机器connect同一个IP，port的tcp连接数不能超过65535（当然实际65535也是达不到的）个呢？

 

答案请看这里《tcp的65535个连接之迷》