Tutte le considerazioni su HTTPS / SSL, ecc. a parte, se il mio utente compila un modulo e io lo invio da AJAX, mi mi sembra che POST & GET è ugualmente intercettabile, sebbene GET sia un bit teensy più trasparente.
Esistono motivi tecnici validi per preferire il POST?
Dovresti usare il POST per qualsiasi azione che cambi lo stato. Se salvi il contenuto del modulo o utilizzi il modulo per inviare una e-mail, dovresti utilizzare un POST.
Ci sono diversi motivi per cui questo è più sicuro:
Vedi anche questa risposta .
È possibile visualizzare GET Request Parameters (stringa di query) nella barra degli indirizzi del browser Web
Quindi non vuoi finire così
http://www.mysupersecuresite.com/login.php?name=me&password=mycoolpassword
Is there any sound technical reason to prefer POST?
Sì, se c'è un "cambio di stato", allora non dovrebbe essere usato un metodo sicuro.
Vedi RFC7231 :
Request methods are considered "safe" if their defined semantics are
essentially read-only; i.e., the client does not request, and does
not expect, any state change on the origin server as a result of
applying a safe method to a target resource ...the GET, HEAD, OPTIONS, and TRACE methods are defined to be safe.
Anche da un punto di vista della sicurezza è preferibile utilizzare il POST, poiché qualsiasi server proxy aziendale (ovvero quelli con certificati attendibili per l'ispezione TLS / SSL) può registrare i parametri della stringa di query GET per impostazione predefinita (poiché fanno parte dell'URL) e verrà anche memorizzato nei log del server per impostazione predefinita.
L'uso del POST significa che questi valori hanno meno probabilità di perdere posti che non ti aspetti.