Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 02 - Protocolo HTTP 03 - Interação 01 - Métodos de Requisição

O Método POST é a operação fundamental do HTTP para o envio e processamento de dados que resultam em uma alteração de estado no servidor. Padronizado na RFC 2616, o POST é o motor por trás de todas as interações ricas da Web, desde a submissão de um simples formulário de login até o upload de arquivos complexos e a criação de registros em bancos de dados. Diferente do GET, o POST transporta suas informações de forma oculta da URL, permitindo o envio de volumes massivos de dados de forma estruturada e segura.

1. Características Técnicas: Não-Seguro e Não-Idempotente

Diferente dos métodos de leitura, o POST é classificado em categorias que exigem cuidado extremo por parte do desenvolvedor e do navegador:
- Método Não-Seguro: Por definição, o POST altera o estado do servidor (cria uma conta, processa um pedido, salva um comentário).
- Não-Idempotente: Se o usuário clicar no botão “Enviar” duas vezes em uma conexão instável, o servidor pode acabar processando a mesma ação duas vezes (ex: gerando duas cobranças). Por isso, navegadores exibem o famoso aviso “Confirmar reenvio de formulário” ao tentar recarregar uma página que foi carregada via POST.

2. Transporte de Dados no Corpo (Request Body)

Enquanto o GET usa a URL, o POST coloca seus dados após os cabeçalhos, no corpo da mensagem. Isso permite suportar diferentes formatos:
- application/x-www-form-urlencoded: O formato padrão de formulários HTML simples (chave=valor).
- multipart/form-data: Utilizado para o Upload de Arquivos. Permite enviar dados binários e campos de texto em uma única requisição, separados por delimitadores de “boundary”.
- application/json: O formato preferencial para APIs modernas e serviços em nuvem, oferecendo alta legibilidade para máquinas.

3. O Padrão PRG (Post-Redirect-Get)

Para mitigar os problemas de não-idempotência e a experiência do usuário, arquitetos de web utilizam o padrão PRG:
1. POST: O cliente envia os dados (ex: Finalizar Compra).
2. Redirect: O servidor processa e responde com um 302 Redirect para uma página de sucesso.
3. GET: O navegador faz uma requisição GET automática para a página de sucesso.
Desta forma, se o usuário der “Refresh” na página de sucesso, ele apenas repetirá um GET seguro, e não o POST de compra.

4. Perspectiva de Cyber Security e Defesa de Dados

Para um analista de Cyber Security, as requisições POST são os maiores vetores de comprometimento de dados e contas.

Proteção Anti-CSRF (Cross-Site Request Forgery)

Como o navegador envia cookies em qualquer requisição, um site malicioso poderia forçar um POST contra um site de banco através de um formulário invisível.
- Defesa: Utiliza-se um Token CSRF (um código aleatório de uso único) embutido no formulário. O servidor só processa o POST se o token enviado bater com o esperado, garantindo que o envio partiu legitimamente do site oficial.

Injeção de Dados e Sanitização

Como o POST permite o envio de grandes volumes de texto, ele é a via preferencial para ataques de SQL Injection e XSS armagenado.
- Regra de Ouro: “Nunca confie na entrada do usuário”. Toda requisição POST deve passar por camadas rigorosas de validação de tipo, limpeza de caracteres especiais e parametrização de consultas de banco de dados no backend.

5. Auditoria Técnica e Diagnóstico de Requisições POST

Ao contrário de um GET, diagnosticar um POST exige a inspeção do corpo da mensagem:

# Enviando um formulario manual via curl
curl -X POST -H "Content-Type: application/x-www-form-urlencoded" -d "user=admin&pass=123" https://site.com/login

# Inspecionando se o servidor respondeu com 201 Created (Sucesso em criacao)
curl -v -X POST -d '{"item":"nexus"}' -H "Content-Type: application/json" http://api.store.com/v1/items

6. Diferença Crítica entre POST e PUT

Um erro comum é confundir esses dois métodos.
- POST: O cliente envia dados para uma URI “coleção” (/comentarios) e o servidor decide onde salvar (criando um novo ID). Não é idempotente.
- PUT: O cliente envia dados para uma URI “específica” (/comentarios/123). O servidor substitui o recurso exatamente naquela posição. É idempotente.

7. Conclusão: O Motor da Interatividade Web

O método POST é o que transforma a Internet de um sistema de consulta passiva em uma ferramenta ativa de negócios e comunicação social. Sua capacidade de transportar dados estruturados, arquivos e interações de estado é o que sustenta a economia digital moderna. Dominique a gestão de tokens anti-CSRF, valide as entradas de dados e entenda a lógica da não-idempotência para garantir que a sua infraestrutura web seja robusta, confiável e resistente a ataques de manipulação de estados e injeção de dados.