Комментарии (1)
🐱
claude-haiku-4.5PrepBro AI28 мар. 2026 г.(ред.)
Ответ сгенерирован нейросетью и может содержать ошибки
Передача данных в HTTP GET запросах
GET — это один из самых часто используемых HTTP методов. Рассмотрю детально механизм передачи данных и все нюансы.
Основы HTTP GET
Определение:
- GET — это безопасный, идемпотентный метод для получения ресурсов
- Данные передаются в URL, не в теле запроса
- Может быть кэширован браузером и серверами
- Метод НЕ должен изменять состояние на сервере
Где передаются данные в GET?
1. Query String (параметры в URL)
GET /api/users?page=1&limit=10&sort=name&filter=active HTTP/1.1
└─────────────────────────────────────────────────────┘
Query String параметры
Структура:
URL = base_url + ? + key1=value1 & key2=value2 & key3=value3
Пример:
/api/users?age=25&city=Moscow&status=active
│ └─ Первый параметр (после ?)
└─ базовый URL
2. Path Parameters (параметры в пути)
GET /api/users/123/orders/456 HTTP/1.1
│ │ │ │
базовый user_id order_id
URL
3. Headers (заголовки)
GET /api/data HTTP/1.1
Host: api.example.com
Authorization: Bearer token123 ← данные в заголовке
X-Custom-Header: value ← данные в заголовке
Accept: application/json
4. Cookies (сессионные данные)
GET /api/profile HTTP/1.1
Cookie: session_id=abc123; user_id=456 ← данные в cookies
Query String параметры — детально
Синтаксис:
URL?name=value&name2=value2&name3=value3
Кодирование специальных символов:
Специальные символы должны быть URL-закодированы
Символ → URL код
пробел → %20 или +
& → %26
= → %3D
# → %23
/ → %2F
@ → %40
Примеры:
# Поиск с пробелами
GET /search?q=john+smith
или
GET /search?q=john%20smith
# Email в параметре
GET /users?email=user%40example.com
# Спецсимволы
GET /search?q=C%2B%2B&version=1.0
# Декодируется как: q=C++ и version=1.0
Массивы в Query String
Способ 1: Повторение ключа
GET /users?id=1&id=2&id=3
Программа получит массив: ids = [1, 2, 3]
Способ 2: С индексами
GET /users?ids[0]=1&ids[1]=2&ids[2]=3
Способ 3: С скобками (PHP style)
GET /users?ids[]=1&ids[]=2&ids[]=3
Пример на разных языках:
# Python
from urllib.parse import urlencode
params = {'ids': [1, 2, 3]}
query_string = urlencode(params, doseq=True)
# Результат: ids=1&ids=2&ids=3
# Flask/Django обработка
@app.get('/users')
def get_users():
ids = request.args.getlist('id') # Получить все значения 'id'
return {"ids": ids}
Ограничения GET
1. Длина URL (браузер и сервер зависимо)
Браузеры: обычно ~2000 символов
Servers (Apache, Nginx): по умолчанию 8KB
// ❌ Плохо
GET /search?q=очень+очень+очень+длинный+запрос+... // 10MB текста
// ✅ Хорошо
GET /search?q=нужное+слово
Решение для больших данных:
// Вместо GET с большим query string
GET /search?q=очень_большой_текст&filters=...
// Используйте POST с телом
POST /search HTTP/1.1
Content-Type: application/json
{
"query": "очень большой текст",
"filters": {...}
}
2. Видимость в логах и истории
# GET параметры видны в:
- История браузера
- Логи сервера
- Прокси серверов
- URL bar
// ❌ Никогда не передавайте пароли в GET
GET /login?username=john&password=secret123 // ПЛОХО!
// ✅ Используйте POST
POST /login
{
"username": "john",
"password": "secret123"
}
Обработка GET параметров на разных платформах
Express.js (Node.js)
app.get('/api/users', (req, res) => {
const page = req.query.page || 1; // page=1
const limit = req.query.limit || 10; // limit=10
const ids = req.query.id; // ?id=1&id=2&id=3 → [1,2,3]
res.json({
page: parseInt(page),
limit: parseInt(limit),
ids: Array.isArray(ids) ? ids : [ids]
});
});
FastAPI (Python)
from fastapi import FastAPI, Query
from typing import List
app = FastAPI()
@app.get("/users")
async def get_users(
page: int = Query(1, ge=1), # page=1, минимум 1
limit: int = Query(10, le=100), # limit=10, максимум 100
ids: List[int] = Query(None), # ?ids=1&ids=2&ids=3
sort: str = Query("name") # sort=name
):
return {
"page": page,
"limit": limit,
"ids": ids,
"sort": sort
}
Spring Boot (Java)
@GetMapping("/users")
public ResponseEntity<?> getUsers(
@RequestParam(defaultValue = "1") int page,
@RequestParam(defaultValue = "10") int limit,
@RequestParam(required = false) List<Integer> ids,
@RequestParam(defaultValue = "name") String sort
) {
return ResponseEntity.ok(new UserResponse(page, limit, ids, sort));
}
Кэширование GET запросов
Как браузер кэширует GET:
Первый запрос:
GET /api/users HTTP/1.1
↓ Браузер сохраняет ответ
Второй запрос (из кэша):
GET /api/users HTTP/1.1
↓
[Браузер возвращает из кэша, без запроса к серверу]
Заголовки кэширования:
HTTP/1.1 200 OK
Cache-Control: max-age=3600 // кэш на 1 час
ETag: "abc123" // уникальный ID версии
Last-Modified: Wed, 28 Mar 2026... // время последнего изменения
При повторном запросе:
GET /api/users HTTP/1.1
If-None-Match: "abc123" // если не изменилось
Ответ:
HTTP/1.1 304 Not Modified
// Браузер использует кэшированную версию
HTTP GET в реальных ситуациях
Пример 1: Пагинированный список
GET /api/products?page=2&limit=20&category=electronics&sort=price_asc
Парамеры:
- page: номер страницы
- limit: количество элементов на странице
- category: фильтр
- sort: сортировка
Пример 2: Поиск с фильтрами
GET /api/search?q=laptop&min_price=500&max_price=1500&brand=dell&brand=hp
Парамеры:
- q: поисковый запрос
- min_price, max_price: диапазон цены
- brand: множественный фильтр
Пример 3: Авторизация через GET (плохая практика, но существует)
// API ключ в URL (не рекомендуется)
GET /api/data?api_key=secret123
// Лучше использовать заголовок
GET /api/data
Authorization: Bearer eyJhbGc...
Безопасность GET параметров
Угрозы:
1. Видимость в логах и истории
2. Уязвимость для SQL injection
GET /search?q='; DROP TABLE users;--
3. XSS атаки
GET /profile?name=<script>alert('xss')</script>
4. CSRF атаки (несмотря на то что GET безопасен по спецификации)
Защита:
# 1. Валидация и санитизация
from urllib.parse import unquote
import re
q = request.args.get('q', '')
# Декодируем URL
q = unquote(q)
# Валидируем (проверяем что это разумные данные)
if len(q) > 100:
return {"error": "Query too long"}
if not re.match(r'^[a-zA-Z0-9\s]+$', q):
return {"error": "Invalid characters"}
# 2. SQL injection защита (используем параметризованные запросы)
# ❌ Плохо
query = f"SELECT * FROM users WHERE name = '{q}'"
# ✅ Хорошо
query = "SELECT * FROM users WHERE name = ?"
cursor.execute(query, (q,))
# 3. HTML escaping для XSS защиты
from markupsafe import escape
safe_q = escape(q)
Best Practices
1. Используйте GET для безопасных операций чтения
✅ GET /users
✅ GET /products/123
❌ GET /users/123/delete
2. Передавайте мало данных, используйте POST для больших объемов
✅ GET /search?q=laptop
❌ GET /search?q=[1MB JSON]
3. Никогда не передавайте чувствительные данные в GET
❌ GET /login?password=secret123
✅ POST /login (в теле)
❌ GET /api?api_key=secret
✅ Authorization: Bearer token (в заголовке)
4. Используйте правильное кодирование
✅ from urllib.parse import urlencode
urlencode({"name": "John Doe"})
❌ f"/search?q={name}" # может быть неправильно закодировано
5. Проверяйте типы параметров
✅ page = int(request.args.get('page', 1))
❌ page = request.args.get('page', 1) # строка, а не число
Вывод
GET — это простой, но мощный метод для передачи данных:
- Данные в URL — query string и path параметры
- Видимы везде — в логах, истории, URL bar
- Ограничена длина — примерно 2-8KB по практике
- Используется для чтения — безопасные, идемпотентные операции
- Требует валидации — защита от XSS, SQL injection
- Кэшируется — браузерами и servers
Для больших данных, конфиденциальной информации или изменения состояния используйте POST с телом запроса.