可以通过 HTTP GET 请求设置 cookie 吗？

Question

这可能有点道德问题，但我在办公室里就以下问题进行了相当多的讨论：

可以使用 HTTP GET 请求设置 cookie 吗？因为只要 HTTP 请求更改应用程序中的某些内容，您就应该使用 POST 请求。 HTTP GET 只能用于检索由 Request-URI 标识的数据。

在这种情况下，应用程序不会更改，但由于 cookie 已更改，因此当页面再次加载时用户可能会获得不同的体验，这意味着 HTTP GET 请求更改了应用程序行为（但服务器端没有任何更改）。

获取请求参考

讨论开始是因为我们想要使用用于设置 cookie 的普通锚元素。

Answer 1

GET 的问题是，特别是当它们位于 a 标签上时，它们会被 Google 等网站抓取。

就您而言，您不必要地创建很可能永远不会被使用的 cookie。

我还认为 GET 规则实际上并不是关于更改应用程序，更多的是关于更改数据。我很欣赏 cookie 的微妙区别（即您不会更改系统上的数据），但一般来说，这是一个很好的规则，并且无论数据存储在何处，GET 都不应该真正用于更改它。

Answer 2

当用户发出另一个 GET 请求时，他总是可以有不同的体验 - 您不希望为（想象的）时间服务返回相同的数据集：“GET /time/current”。

另外，并不是说您不允许更改服务器端状态来响应 GET 请求 - 例如，增加页面点击计数器是完全“合法”的，即使您将其存储在数据库中。

请考虑9.1.1 安全方法部分

当然，无法保证服务器不
执行 GET 请求时会产生副作用；在
事实上，一些动态资源认为这是一个功能。重要的
这里的区别是用户没有请求副作用，所以
因此不能对他们负责。

另外，我想说，更改或设置 cookie 来响应 GET 请求是完全可以接受的，因为您只需返回一些数据。