Dejando de lado todas las consideraciones de HTTPS / SSL, etc., si mi usuario completa un formulario y lo envío por AJAX, parece que POST & Los GET son igualmente interceptables, aunque GET es un poco más transparente teensy .
¿Hay alguna razón técnica sólida para preferir POST?
Debería usar POST para cualquier acción que cambie de estado. Si guarda el contenido del formulario o lo utiliza para enviar un correo electrónico, debe usar un POST.
Hay varias razones por las que esto es más seguro:
Consulte también esta respuesta .
¿Hay alguna razón técnica sólida para preferir POST?
Sí, si hay un "cambio de estado", no se debe utilizar un método seguro.
Consulte RFC7231 :
Los métodos de solicitud se consideran "seguros" si sus semánticas definidas son
esencialmente solo lectura; es decir, el cliente no solicita, y lo hace
No espere, cualquier cambio de estado en el servidor de origen como resultado de
Aplicar un método seguro a un recurso objetivo. ...los métodos GET, HEAD, OPTIONS y TRACE se definen como seguros.
Desde una perspectiva de seguridad, también se prefiere el uso de POST, ya que cualquier servidor proxy corporativo (es decir, aquellos con certificados de confianza para la inspección TLS / SSL) puede registrar parámetros de cadena de consulta GET de forma predeterminada (ya que forman parte de la URL), y también se almacenará en los registros de su servidor de forma predeterminada.
El uso de POST significa que es menos probable que estos valores filtren lugares que no espera.