[Owasp-brazilian] Você acha normal usar POST e GET como e fosse a mesma coisa?

Wagner Elias wagner.elias at gmail.com
Wed Aug 5 16:22:07 EDT 2009


Pessoal,

Por que muitos programadores acham que POST e GET é a mesma coisa?

Se analisarmos os frameworks, struts por exemplo, ele aceita POST e
GET. Se você pegar um formulário que é POST e mandar a requisição em
GET, o struts aceita normalmente. Isto é comum em outros frameworks
também.

Pode parecer apenas uma frescura usar POST e GET de forma adequada, ou
apenas uma questão de arquitetura. Mas o próprio W3C[1]  sugere quando
usar POST e GET:

1.3 Quick Checklist for Choosing HTTP GET or POST

    * Use GET if:
          o The interaction is more like a question (i.e., it is a
safe operation such as a query, read operation, or lookup).
    * Use POST if:
          o The interaction is more like an order, or
          o The interaction changes the state of the resource in a way
that the user would perceive (e.g., a subscription to a service), or
          o The user be held accountable for the results of the interaction.


Além disto, em algumas situações a possibilidade de fazer uma
requisição usando GET, quando era para ser usado POST, pode facilitar
ataques de XSS/XSRF baseados em phishing, engenharia social.

O que vocês acham disto?

[1] http://www.w3.org/2001/tag/doc/whenToUseGet.html

Abs.
-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias


More information about the Owasp-brazilian mailing list