一张图带你了解HTTP 9个请求方法，收藏！

HTTP（Hypertext Transfer Protocol，超文本传输协议）是互联网中使用最广泛的通信协议之一，它定义了客户端与服务器之间的通信规则。无论是浏览网页、调用 API、下载文件，还是进行各种在线交互，HTTP 都是不可或缺的基础协议。HTTP 协议基于请求-响应模型工作，其中客户端发出请求，服务器返回响应。HTTP 请求方法定义了客户端希望执行的操作类型，每种请求方法都有特定的用途和行为。

在 HTTP/1.1 中，标准定义了多种请求方法，每种方法适用于不同的场景。本文将详细介绍九种 HTTP 请求方法：GET、POST、PUT、DELETE、PATCH、HEAD、CONNECT、OPTIONS 和 TRACE。这些方法在 Web 开发和 API 设计中扮演着重要角色。通过理解这些请求方法的功能和使用场景，开发者可以更好地设计和优化网络应用程序。

GET 方法

GET 方法是 HTTP 中最常用的请求方法之一，几乎在所有的 Web 应用中都能看到它的身影。GET 请求的主要作用是从服务器获取资源，例如网页、图片、视频等。当用户在浏览器中输入一个 URL 并按下回车键时，浏览器便会向服务器发送一个 GET 请求，要求获取该 URL 对应的资源。服务器处理请求后，会将资源发送回客户端，通常是 HTML、CSS、JavaScript 文件或其他媒体内容。

GET 方法的主要作用是从服务器请求数据，而不会对服务器上的资源进行任何修改。换句话说，GET 请求是"无副作用"的，不会改变服务器的状态。GET 请求通常用于以下场景：

• 获取网页内容：浏览器向服务器请求 HTML 文件以显示网页内容。
• 获取 API 数据：客户端向 API 发送 GET 请求以获取数据，例如获取用户信息、商品列表等。
• 加载资源文件：获取静态资源，如图片、CSS、JavaScript 文件等。

示例：

GET /index.html HTTP/1.1
Host: www.example.com

在上述示例中，客户端通过 GET 请求从服务器获取 index.html 文件。服务器在处理该请求后，会返回相应的 HTML 文件给客户端。

GET 请求广泛应用于 Web 开发中，尤其是在需要从服务器获取数据的场景中。例如：

• 搜索引擎：用户在搜索引擎中输入关键词并按下搜索按钮时，搜索引擎会向服务器发送一个 GET 请求，并将用户输入的关键词附加在 URL 中。服务器根据关键词返回搜索结果页面。

示例：

GET /search?q=http GET method HTTP/1.1
Host: www.searchengine.com

• 在线商店：用户浏览商品时，客户端会向服务器发送 GET 请求，以获取商品详情信息。服务器响应包含商品的名称、价格、描述等信息。

示例：

GET /product/12345 HTTP/1.1
Host: www.onlinestore.com

GET 请求的一个重要特性是可以被缓存。浏览器或中间代理服务器可以缓存 GET 请求的响应，以减少重复请求服务器的次数，从而提高性能并降低带宽消耗。HTTP 协议中定义了多种缓存机制，例如 ETag、Last-Modified 等，它们用于标识资源的状态，判断资源是否已改变。

缓存示例：

GET /logo.png HTTP/1.1
Host: www.example.com
If-None-Match: "abc123"

如果服务器返回的 ETag 与缓存中的 ETag 匹配，浏览器将直接使用缓存中的资源，而不重新下载文件。这不仅节省了带宽，还加快了页面加载速度。

GET 请求中常见的一种形式是通过 URL 参数或查询字符串传递数据。查询字符串通常附加在 URL 的末尾，以 ? 开头，参数与值之间用 = 连接，多个参数之间用 & 分隔。

示例：

GET /search?q=HTTP+GET+method&sort=latest HTTP/1.1
Host: www.example.com

在上述请求中，查询字符串 q=HTTP+GET+method&sort=latest 包含了两个参数：q 和 sort，分别表示搜索关键词和排序方式。这种方式适合传递简单的键值对数据，但由于查询字符串会暴露在 URL 中，因此不适合传输敏感信息。

尽管 GET 请求广泛使用，但在安全性方面需要注意以下几点：

• 敏感数据的暴露：由于 GET 请求的数据被附加在 URL 中，查询字符串中的信息会记录在浏览器历史记录、服务器日志以及第三方代理服务器中。因此，不应通过 GET 请求传输密码、信用卡号等敏感信息。
• URL 长度限制：不同浏览器和服务器对 URL 长度的支持有限制，通常在 2048 字符以内。如果查询字符串过长，可能会导致请求失败。
• 请求重放：由于 GET 请求是幂等的（即相同的请求无论执行多少次，结果应一致），因此容易受到重放攻击（Replay Attack）。恶意用户可以通过重复发送同一 GET 请求来获取敏感数据或进行未授权的操作。

为了增强安全性，建议在传输敏感数据时使用 POST 方法，并通过 HTTPS 加密通信。

POST 方法

POST 方法用于向服务器发送数据，通常是为了提交表单、上传文件、或调用 API 接口以进行数据处理。与 GET 方法不同，POST 请求的数据不会附加在 URL 中，而是包含在请求体中。因此，POST 方法适合传输较大或敏感的数据。

POST 方法的典型使用场景包括：

• 提交表单数据：用户在网页上填写表单后，点击提交按钮，浏览器会使用 POST 方法将表单数据发送到服务器。例如，用户注册、登录、提交评论等操作都通常使用 POST 方法。

示例：

POST /submit-form HTTP/1.1
Host: www.example.com
Content-Type: application/x-www-form-urlencoded

username=johndoe&password=secret123

• 上传文件：POST 方法可以用于将文件上传到服务器。在这种情况下，请求体会包含文件数据，服务器处理后保存文件。

示例：

POST /upload HTTP/1.1
Host: www.example.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary
  
------WebKitFormBoundary
Content-Disposition: form-data; name="file"; filename="example.jpg"
Content-Type: image/jpeg

(binary file data)
------WebKitFormBoundary--

• 调用 API：在 RESTful API 中，POST 方法通常用于创建新资源。例如，创建新的用户账户、发布新的文章或评论等。

示例：

POST /api/users HTTP/1.1
Host: www.example.com
Content-Type: application/json

{
  "username": "johndoe",
  "email": "johndoe@example.com",
  "password": "secret123"
}

POST 请求是非幂等的，这意味着重复发送相同的 POST 请求可能会产生不同的结果。例如，重复提交订单或评论可能会导致服务器生成多个相同的记录。由于这一特性，开发者在设计 API 时通常需要考虑如何防止重复提交的问题，例如使用唯一性约束、token 验证等手段。

与 GET 请求相比，POST 请求在安全性方面有一些显著的优势：

• 数据不暴露在 URL 中：由于 POST 请求的数据包含在请求体中，不会暴露在 URL 中，因此更适合传输敏感数据，如密码、信用卡信息等。
• 数据量不受 URL 长度限制：POST 请求的数据量没有像 GET 请求那样受到 URL 长度的限制，因此可以传输较大的数据包，如文件上传、复杂表单提交等。

尽管如此，POST 请求仍然需要配合 HTTPS 协议使用，以确保数据在传输过程中的安全性。使用 HTTPS 可以加密数据，防止在传输过程中被窃取或篡改。

PUT 方法

PUT 方法通常用于更新服务器上的资源。与 POST 方法不同，PUT 请求是幂等的，意味着多次发送相同的 PUT 请求，服务器的资源状态不会变化。PUT 方法可以用于创建或更新资源，通常用于更新现有资源的数据。

PUT 方法的典型使用场景包括：

• 更新用户信息：用户修改个人资料时，客户端通过 PUT 请求将更新后的信息发送到服务器，服务器接收后更新数据库中的用户信息。

示例：

PUT /api/users/123 HTTP/1.1
Host: www.example.com
Content-Type: application/json

{
  "username": "johndoe",
  "email": "newemail@example.com"
}

• 更新文档内容：在协作编辑工具中，用户保存编辑后的文档时，客户端通过 PUT 请求将文档内容上传到服务器，服务器接收后更新文档存储。

示例：

PUT /documents/456 HTTP/1.1
Host: www.example.com
Content-Type: text/plain

Updated document content...

PUT 方法是幂等的，这意味着相同的 PUT 请求无论执行多少次，服务器上的资源状态应保持一致。例如，用户修改个人资料后，如果重复发送相同的 PUT 请求，服务器上该用户的资料应保持不变，而不会生成多个相同的记录。

PUT 请求通常用于更新现有资源，因此在安全性方面需要特别注意以下几点：

• 身份验证与授权：由于 PUT 请求涉及资源的修改，服务器应确保请求方具备修改该资源的权限。例如，用户只能修改自己的资料，而不能修改其他用户的资料。通常，通过身份验证和授权机制来确保这一点。
• 数据完整性：PUT 请求通常要求客户端发送完整的资源数据，而不仅仅是需要更新的字段。因此，如果网络传输中数据被截断或丢失，可能导致资源数据不完整。为确保数据完整性，建议使用校验和或数字签名进行数据验证。

DELETE 方法

DELETE 方法用于删除服务器上的指定资源。在 RESTful API 设计中，DELETE 方法通常用于移除指定的资源对象或数据。例如，删除一篇文章、一条评论、或一个用户账户等。DELETE 方法的幂等性特性决定了无论同一个 DELETE 请求被执行多少次，服务器上的资源状态应保持一致，即资源被删除后，再次删除操作不会产生任何新的效果。

DELETE 方法的典型使用场景包括：

• 删除用户账户：当用户决定注销自己的账户时，客户端可以发送一个 DELETE 请求到服务器，要求删除该用户的账户信息。
  示例：

  DELETE /api/users/123 HTTP/1.1
  Host: www.example.com
  

• 删除文件或记录：在文件管理系统或数据库管理系统中，DELETE 方法常用于删除指定的文件或数据库记录。
  示例：

  DELETE /api/files/456 HTTP/1.1
  Host: www.example.com
  

DELETE 方法是幂等的，这意味着相同的 DELETE 请求无论执行多少次，服务器上的资源状态应保持一致。例如，发送 DELETE 请求删除一篇文章，如果文章已经被删除，再次发送相同的 DELETE 请求不会导致新的变化，服务器应返回一个指示资源已不存在的响应。

DELETE 请求涉及到资源的删除操作，因此需要特别注意以下几个方面的安全性问题：

• 身份验证与授权：由于 DELETE 操作可能对系统或用户数据造成不可逆的影响，服务器应确保只有有权限的用户才能执行该操作。例如，用户只能删除自己的评论或账户，而管理员可能有权删除任何用户的评论或账户。
• 数据备份：由于 DELETE 操作的不可逆性，建议在执行删除操作前进行数据备份，或者设计成软删除，即标记数据为已删除，而不是实际删除，以便在必要时进行恢复。
• 防止误操作：为了防止用户或系统误操作删除数据，通常可以设计确认机制，例如在删除前要求用户确认操作，或者使用延迟删除机制，给用户一定时间撤销删除操作。

PATCH 方法

PATCH 方法用于对服务器上的资源进行部分更新。与 PUT 方法不同，PATCH 请求不需要包含完整的资源数据，而只需要传输需要更新的部分字段。因此，PATCH 方法非常适合用于需要频繁更新部分数据的场景。

PATCH 方法的典型使用场景包括：

• 更新用户部分信息：例如，用户想要修改个人资料中的某一项字段，如邮箱地址或电话号码，客户端可以通过 PATCH 请求仅传输需要更新的字段，服务器接收后更新相关字段的数据。

示例：

PATCH /api/users/123 HTTP/1.1
Host: www.example.com
Content-Type: application/json

{
  "email": "newemail@example.com"
}

• 更新文档部分内容：在文档管理系统中，如果需要对某篇文档的部分内容进行更新，而不修改其他部分，可以使用 PATCH 方法传输更新的部分。

示例：

PATCH /documents/456 HTTP/1.1
Host: www.example.com
Content-Type: application/json

{
  "title": "Updated Document Title"
}

PATCH 方法通常被认为是非幂等的，这意味着相同的 PATCH 请求被执行多次可能会产生不同的结果。例如，如果一个 PATCH 请求是对字符串数据进行追加操作，那么重复执行相同的请求将会导致字符串的内容被多次追加，产生不同的结果。

然而，也有特定情况下的 PATCH 请求是幂等的，例如只是对某个字段的值进行覆盖更新。在这种情况下，PATCH 请求的幂等性与 PUT 方法类似。

PATCH 请求主要用于部分更新，因此在安全性方面需注意以下几点：

• 身份验证与授权：服务器应确保只有有权限的用户才能执行 PATCH 操作。例如，用户只能更新自己的资料，而不能更新其他用户的资料。
• 数据验证与完整性：由于 PATCH 请求只传输部分数据，服务器在接收到请求后应确保数据的完整性，并验证更新后的数据是否符合业务规则或约束条件。
• 避免数据竞争：在并发操作的场景下，如果多个 PATCH 请求同时对同一个资源进行不同的部分更新，可能会导致数据竞争问题。因此，建议在并发操作中使用锁机制或乐观锁策略，以避免数据不一致问题。

HEAD 方法

HEAD 方法与 GET 方法非常相似，但它只请求资源的首部信息，而不包含资源的具体内容。HEAD 请求的响应中只有状态行和头部字段，不返回消息体。HEAD 方法通常用于在不下载资源的情况下获取资源的元数据，如检查资源是否存在、获取资源的大小或类型等。

HEAD 方法的典型使用场景包括：

• 检查资源是否存在：在下载文件之前，客户端可以通过 HEAD 请求检查文件是否存在，并获取文件的元数据，如文件大小、类型等。

示例：

HEAD /files/sample.pdf HTTP/1.1
Host: www.example.com

• 获取资源的元数据：在不获取资源内容的情况下，客户端可以使用 HEAD 方法获取资源的元数据，如 Content-Type、Last-Modified、Content-Length 等。

示例：

HEAD /api/documents/456 HTTP/1.1
Host: www.example.com

HEAD 方法的一个显著特点是它不会返回消息体，因此在获取资源元数据时，HEAD 请求比 GET 请求更加高效。此外，由于 HEAD 请求不会返回资源内容，它通常被用作缓存控制的手段。例如，通过 HEAD 请求检查资源的 Last-Modified 或 ETag 头部字段，客户端可以决定是否需要重新下载资源。

CONNECT 方法

CONNECT 方法用于建立一个到服务器的隧道连接，通常用于 HTTP 与 HTTPS 的代理请求。CONNECT 请求会将客户端的连接转换为一个双向通信的通道，允许客户端与目标服务器之间传递任意数据而不受代理服务器的影响。最常见的应用场景是通过 HTTP 代理访问 HTTPS 站点。

CONNECT 方法的典型使用场景包括：

• 代理 HTTPS 请求：在访问 HTTPS 网站时，客户端通过 HTTP 代理发送 CONNECT 请求，代理服务器创建一个到目标服务器的隧道连接，使客户端与目标服务器之间的通信得以加密且直接传输。

示例：

CONNECT www.example.com:443 HTTP/1.1
Host: www.example.com

当代理服务器收到这个请求后，会建立一个与目标服务器的 TCP 连接，并将后续的所有数据直接传递给目标服务器。这种方式允许客户端与目标服务器之间的通信保持安全性和私密性，因为代理服务器只负责传递数据，而不进行解析或修改。

由于 CONNECT 方法用于创建一个隧道连接，它能够有效地维护客户端与服务器之间的通信隐私。然而，CONNECT 方法也可能被滥用。例如，恶意用户可以利用 CONNECT 方法绕过防火墙或其他网络安全措施，进行未经授权的访问。因此，许多代理服务器在使用 CONNECT 方法时会对目标端口或目标域名进行限制，防止滥用。

OPTIONS 方法

OPTIONS 方法用于查询服务器支持的请求方法或特定资源所支持的功能。它通常用于检查服务器的能力，确定哪些请求方法可以被安全地执行在指定资源上。OPTIONS 请求的响应通常包括 Allow 头部字段，列出服务器支持的请求方法。

OPTIONS 方法的典型使用场景包括：

• 跨域资源共享（CORS）预检请求：在跨域请求中，浏览器会自动发送一个 OPTIONS 请求来预检目标服务器是否允许实际的请求方法。服务器通过 OPTIONS 请求响应，指示是否允许实际请求继续执行。

示例：

OPTIONS /api/users HTTP/1.1
Host: api.example.com

响应示例：

HTTP/1.1 204 No Content
Allow: GET, POST, PUT, DELETE

• 查询服务器支持的请求方法：客户端可以使用 OPTIONS 请求查询服务器支持哪些请求方法，帮助开发者了解服务器的功能和限制。

示例：

OPTIONS /documents/456 HTTP/1.1
Host: www.example.com

响应示例：

HTTP/1.1 200 OK
Allow: GET, POST, DELETE, OPTIONS

OPTIONS 方法广泛用于 CORS 机制中，以确保跨域请求的安全性和合规性。通过预检请求，服务器可以控制哪些外部来源和请求方法可以访问其资源，从而避免跨站请求伪造（CSRF）攻击。

此外，OPTIONS 方法也可以用于测试和诊断服务器的配置，帮助开发者或管理员了解服务器的请求处理能力。

TRACE 方法

TRACE 方法用于在服务器上发起一个回环测试，即服务器将收到的请求原样返回给客户端。TRACE 方法的主要用途是诊断或调试，帮助客户端检查请求在传输过程中是否被修改或损坏。

TRACE 请求的典型使用场景包括：

• 检查代理服务器行为：当客户端与服务器之间有多个代理服务器时，TRACE 请求可以用于检查请求在经过各个代理服务器时是否被修改，帮助诊断网络问题。

示例：

TRACE /api/resource HTTP/1.1
Host: www.example.com

响应示例：

HTTP/1.1 200 OK
Content-Type: message/http

TRACE /api/resource HTTP/1.1
Host: www.example.com
User-Agent: MyBrowser/1.0

由于 TRACE 方法会将请求的所有信息，包括可能包含的敏感数据，如 Cookies 或 Authorization 头部，返回给客户端，这可能导致信息泄露。攻击者可以利用 TRACE 方法实施跨站点跟踪攻击（Cross-Site Tracing，XST），获取用户的敏感信息。因此，许多现代的 Web 服务器默认禁用 TRACE 方法以防止潜在的安全风险。