GET 请求正常但 POST 请求返回 400,说明服务器能连通且URL 本身正确,问题通常出在 POST 请求的头部、参数格式或安全验证上。
按出现概率从高到低,主要有以下几种可能:
CSRF 令牌缺失(最常见):许多框架(如 Laravel、Spring Security、Django)会要求 POST 请求携带一个隐藏的令牌来防止跨站攻击。如果你在测试时不带该令牌,服务器会直接拒绝。可以检查请求是否漏掉了 X-CSRF-TOKEN 头或表单中的 _token 字段。
请求头 Content-Type 不匹配:服务器期望的是 application/json,但你发的是 multipart/form-data(表单),或者反之。服务器解析失败就会返回 400 错误。另外,如果是 JSON 格式,语法错误(如多余的逗号、单引号)也会导致同样的问题。
参数格式或类型错误:POST 传递的参数虽然字段名对,但值不符合要求。比如服务器要求整型,你传了字符串;或者参数没做 URL 编码,包含了特殊字符。
请求体过大:GET 能访问说明服务器接受小数据,但 POST 可能上传了文件或大量文本,超过了服务器(如 Nginx 或 PHP 配置)的大小限制。
安全模块拦截:被防火墙或安全插件识别为恶意请求(如包含 SQL 关键字)而被拦截。
快速定位建议
打开浏览器的开发者工具(F12) -> Network(网络) 标签:
重新提交一次 POST 表单。
找到报 400 的那条请求,点击查看 Request Headers(请求头)和 Payload/Request(载荷)。
对比 GET 请求正常时的信息,重点关注上述提到的几点。