JavaWeb 如何防止表单重复提交 - 使用Token,令牌
2024-10-21 18:34:25
JavaWeb 如何防止表单重复提交 - 使用Token,令牌
说到重复提交 ,应该想到两种场景:
1. 在下单,或者支付 这种情况 那么不允许 刷新,不允许后退再点击提交(后退之后提交会失败,修改了也不行)。
2. 在填写表单之后,提交完成之后,不允许 刷新,但是允许 返回之后 提交,给用户修改表单的机会。
解决方法
首先可以防止用户刷新,处理完成之后用Redirect的方式 跳转到success页面,这样刷新则没有用。但是返回的时候还可以提交一次缓存的数据。
然后 使用令牌,在页面表单生成一个token, 这是在请求页面的时候产生的,放在隐藏域之中。然后把token存在session中。
提交之后,判断这两个token是否一样,是一样则通过,并且清除session 中的 token,这样就能防止返回之后再次提交,因为返回的时候点击提交读取的是缓存,但是session已经没有这个token了。这适用于场景1
对于场景2,直接禁止缓存,那么返回的时候一定重新请求 表单,用户可以再次填写。在用token的情况下,session中的 token总是和 隐藏域中的一致。
在使用令牌的情况下,如果用户没有重新请求表单,并且恶意提交之前的Post数据,则在服务器端,session里面的token已经被清空且没有重新请求,则session的token为空不能通过。
<body>
<%
long token=System.currentTimeMillis(); //产生时间戳的token
session.setAttribute("token",token);
%>
<form action="isRepeat" method="post">
<input type="text" name="username"/>
<input type="text" name="password"/>
<input type="hidden" value="<%=token %>" name="Reqtoken"/> <!-- 作为hidden提交 -->
<input type="submit" value="提交"/>
</form>
</body>
String token = req.getParameter("Reqtoken");// 获取表单上面的时间戳T1 HttpSession session=req.getSession();
String tokenInSession = ""+session.getAttribute("token"); System.out.println("Session in Token: " + tokenInSession);
System.out.println("表单的Token:" + token+"\n------------"); if (tokenInSession!=null && token!=null && token.equals(tokenInSession)) {
resp.getWriter().println("ok ");
session.removeAttribute("token");
} else { //如果禁止缓存,返回会 重新请求,tokenInSession 是不会为空的 System.out.println("重复提交,或者有错误");//或者有错误,直接访问servlet等
resp.sendRedirect("index.jsp");
return;
} resp.sendRedirect("success.jsp"); //此句子导致刷新无效
禁止缓存的方法,参见另一篇文章。
另一种方法: 该方法原理是 记住上一次提交的 页面token。将本次的token和上次比对,如果一样说明重复提交。该方法不需要禁用缓存。
String token = req.getParameter("Reqtoken");// 获取表单上面的时间戳 HttpSession session=req.getSession(); String LasttokenInSession = (String) session.getAttribute("Lasttoken"); //System.out.println("------------\nToken in Session: " + tokenInSession);
System.out.println("表单的Token:" + token);
System.out.println("上一次表单的Token:" + LasttokenInSession);
//token!=null 是防止用户直接打开本servlet页面。LasttokenInSession是空,说明是第一次提交 ,和上一次不想等则说明不是重复提交
if(token!=null && (LasttokenInSession ==null || !LasttokenInSession.equals(token)) ) { session.removeAttribute("token");//Token 清空 session.setAttribute("Lasttoken",token);// 保存上一次 }
else { resp.getWriter().println("<h1>表单页面无效,请返回并且刷新页面</h1>");
resp.getWriter().println("<h1><a href=\""+ "index.jsp" +"\">返回并刷新</a></h1>"); resp.getWriter().println("Do not Duplicate submit!");
return;
} resp.sendRedirect("success.jsp"); //此句子导致刷新无效
最新文章
- DDD 主题交流会总结及计划
- (转)mysql账号权限密码设置方法
- Java程序打包成jar包
- Cloud Insight!StatsD 系监控产品新宠!
- Ajax的原理和运行机制
- nginx利用反向代理调试后台接口
- CentOS7关闭/开启防火墙出现 Unit iptables.service failed to load
- 智能合约语言 Solidity 教程系列7 - 以太单位及时间单位
- 【一天一道LeetCode】#77. Combinations
- docker(一) Centos7下安装docker
- ANTLR v4 专业术语集
- TCP/IP协议 计算机间的通讯,传输、socket 传输通道
- TSL协议升级导致的问题:caught when processing request: Received fatal alert: protocol_version
- Java 进阶7 并发优化 1 并行程序的设计模式
- udacity term_sim.x86_64 ubuntu16.04 Vmware
- 入门系列之在Ubuntu上使用Netdata设置实时性能监控
- IE Edge 下载文件的时候,文件名不能有windows不支持的特殊字符
- asp.net Core 部署到CentOs7上,使用Nginx做代理
- 深入浅出C/C++中的正则表达式库
- 转:JavaWeb学习总结(一) 写得相当不错