表單防重提交詳解

Backache 發布于2019-08-16 16:40 / 1619人閱讀

摘要：注意設計模式并不適用所有的重復提交情況，比如由于服務器響應緩慢，用戶刷新提交請求造成的重復提交。用戶惡意避開客戶端預防多次提交手段，進行重復數據提交。

表單重復提交的常見應用場景?
1、在網絡延遲的情況下讓用戶又是加你點擊多次submit按鈕導致?
2、表單提交后用戶點擊刷新按鈕導致表單重復提交?
3、用戶表單提交后，點擊瀏覽器后退按鈕退回表單頁面后進行再次提交

很多情況下,重復提交的數據,都不是我們想要的,如訂單的提交,申請退款的提交等,那么如何做到防重提交呢?

下面介紹有4種方法,重點最后一種:

1.給數據庫所需的字段添加上唯一性約束

? ? 此方法最有效的防止了數據重復提交,但是前臺還是會出現重復提交的情況,后臺回報錯.

2.前端使用js在點擊按鈕提交后設置disable,后或者js設置一個屬性,提交前為true,提交后為false
? ? 客戶端禁用js,這種方法將無效

3.使用Post/Redirect/Get　　

Post/Redirect/Get簡稱PRG，是一種可以防止表單數據重復提交的一種Web設計模式，像用戶刷新提交響應頁面等比較典型的重復提交表單數據的問題可以使用PRG模式來避免。例如：當用戶提交成功之后，執行客戶端重定向，跳轉到提交成功頁面。

　　　注意：PRG設計模式并不適用所有的重復提交情況，比如：

　　　　　　　1）由于服務器響應緩慢，用戶刷新提交POST請求造成的重復提交。

　　　　　　　2）用戶點擊后退按鈕，返回到數據提交界面，導致的數據重復提交。

　　　　　　　3）用戶多次點擊提交按鈕，導致的數據重復提交。

　　　　　　　4）用戶惡意避開客戶端預防多次提交手段，進行重復數據提交。

4.使用session和注解設置令牌

所謂令牌其實就是一種標識,標識當前提交狀態,比如以前古代打戰時,皇帝發布命令時會給個虎符給手下的人攜帶到將軍那邊傳達,而將軍手上也有皇帝給的另一半虎符,將軍一對比,果然能湊成一對,就根據傳達的命令去打戰,如果來人沒有攜帶虎符,將軍是肯定把來人砍頭的.

那么這個令牌怎么設置,下圖就是寫這個令牌token的一個思路:

1.先寫一個簡單的注解類

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**

自定義一個Token注解，用于標識需要防重提交的方法

@author ranger

*
*/
@Target(value=ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface TokenForm {

//用于標記需要防重提方法的 ，創建Token的屬性
boolean create() default false;
//用于標記需要防重提方法的，刪除Token的屬性
boolean remove() default false;

}

2.在跳轉到增加頁面前,創建token

/**
 * 跳轉到增加頁面
 * 請求路徑：${pageContext.request.contextPath}/admin/toAdminAdd
 * @return
 */

@RequestMapping(value="/toAdminAdd")
@TokenForm(create=true)
public String toAdminAdd(HttpServletRequest request) {

    return "manager/adminAdd";
}

3.添加數據后刪除token
/**

 * 增加管理員
 * 請求路徑：${pageContext.request.contextPath }/admin/addAdmin
 * @param admin
 * @param request
 * @return
 */
@RequestMapping(value="/addAdmin")
@TokenForm(remove=true)
public String addAdmin(@RequestParam Map admin,HttpServletRequest request) {
    try {
        //將密碼Md5編碼后在插入
        admin.put("admin_pwd",Md5Utils.md5((String)admin.get("admin_pwd")) );
        
        LOGGER.debug("-增加管理員-"+admin);
        adminService.addAdmin(admin);
        request.setAttribute("admin_add_msg", "增加管理員成功");
        
    } catch (Exception e) {
        e.printStackTrace();
        request.setAttribute("admin_add_msg", "增加管理員失敗");
    }
    return "manager/adminAdd";
}

4.創建一個攔截器,攔截發送路徑前的token信息
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.log4j.LogManager;
import org.apache.log4j.Logger;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import cn.gzsxt.annotation.TokenForm;

public class TokenInterceptor implements HandlerInterceptor {

private static final Logger LOGGER = LogManager.getLogger(TokenInterceptor.class);

@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
        throws Exception {
    
    //第一步：獲得調用處理方法的注解
    HandlerMethod hm=(HandlerMethod) handler;
    TokenForm tokenForm = hm.getMethodAnnotation(TokenForm.class);
    
    
    //第二步：判斷是否有Token注解
    if (tokenForm!=null) {
        HttpSession session = request.getSession();
        if (tokenForm.create()==true) {
            session.setAttribute("token", UUID.randomUUID().toString());
            LOGGER.debug("打印出來的token:"+session.getAttribute("token"));
        }
        if (tokenForm.remove()==true) {
            //判斷表單的Token與服務端的Token是否相同
            String formToken = request.getParameter("token");
            Object sessionToken = session.getAttribute("token");
            //傳遞過來的Token與服務端的Token相同，允許操作，并且刪除session的Token
            if (formToken.equals(sessionToken)){
                session.removeAttribute("token");
            }else{
                //跳轉到指定的路徑
                String invoke = request.getParameter("token.invoke");
                response.sendRedirect(request.getContextPath()+invoke);
                return false;
            }
        }
        
    }
    
    return true;
}

@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
        ModelAndView modelAndView) throws Exception {
    // TODO Auto-generated method stub
    
}

@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
        throws Exception {
    // TODO Auto-generated method stub
    
}

5.前端指定提交的token和重復提交后可跳轉的地址token.invoke

GPU云服務器云服務器提交表單表單提交表單數據提交提交整個表單

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://specialneedsforspecialkids.com/yun/74109.html

表單防重提交詳解

摘要：注意設計模式并不適用所有的重復提交情況，比如由于服務器響應緩慢，用戶刷新提交請求造成的重復提交。用戶惡意避開客戶端預防多次提交手段，進行重復數據提交。表單重復提交的常見應用場景?1、在網絡延遲的情況下讓用戶又是加你點擊多次submit按鈕導致?2、表單提交后用戶點擊刷新按鈕導致表單重復提交?3、用戶表單提交后，點擊瀏覽器后退按鈕退回表單頁面后進行再次提交很多情況下,重復提交的數據,...

Kross 2019-08-02 16:12 評論0 收藏0
連連支付注意事項

摘要：異步通知和同步通知異步通知和同步通知都是支付完成的時候即時發送的。請務必要做好訂單成功狀態防重控制。同步返回是表單的形式請求，用來頁面顯示成功信息。風控參數風控參數是我司風險控制系統用來控制用戶盜卡風險，保障用戶資金安全的參數，也是商戶上線之前一個重要的審核事項，一定要傳的喲~ 如果是: 1、小額虛擬類商戶，只要傳風控參數列表中的基本風控參數； 2、實物類的商戶，要傳文檔中基本風控參...

Aceyclee 2019-07-01 12:17 評論0 收藏0
API設計中防重放攻擊

摘要：數據加密是否可以防止重放攻擊否，加密可以有效防止明文數據被監聽，但是卻防止不了重放攻擊。防重放機制我們在設計接口的時候，最怕一個接口被用戶截取用于重放攻擊。這樣，這個請求即使被截取了，你也只能在內進行重放攻擊。 HTTPS數據加密是否可以防止重放攻擊？否，加密可以有效防止明文數據被監聽，但是卻防止不了重放攻擊。防重放機制我們在設計接口的時候，最怕一個接口被用戶截取用于重放攻擊。重...

vvpvvp 2019-08-15 15:56 評論0 收藏0
表單提交時編碼類型enctype詳解

摘要：以下引用，摘自規范的章節這不就是我們在回調函數里判斷返回數據的類型，并且是在請求頭中的那個玩意兒嗎沒錯就是它根據規范的基礎數據類型的說明，這個指定了連接資源的屬性，同時也是的那些媒體類型。今天掰扯完了表單提交時的編碼類型，以及它和的關系。很早以前，當還沒有前端這個概念的時候，我在寫表單提交完全不去理會表單數據的編碼，在action屬性里寫好目標URL，剩下的啊交給瀏覽器吧~但是現在，...

jackzou 2019-08-01 15:10 評論0 收藏0
JS基礎篇--JS之表單提交時編碼類型enctype詳解

摘要：格式支持比鍵值對復雜得多的結構化數據，這一點也很有用。例如下面這段代碼最終發送的請求是這種方案，可以方便的提交復雜的結構化數據，特別適合的接口。簡介 form的enctype屬性為編碼方式，常用有兩種：application/x-www-form-urlencoded和multipart/form-data，默認為application/x-www-form-urlencoded。 ...

ad6623 2019-08-21 17:26 評論0 收藏0