防止重複提交 令牌法

原創 qq_37300675 2018-09-04 12:50

JavaWeb 如何防止表單重複提交 - 使用Token,令牌

說到重複提交 ,應該想到兩種場景:
1. 在下單,或者支付 這種情況 那麼不允許  刷新,不允許後退再點擊提交(後退之後提交會失敗,修改了也不行)。
2. 在填寫表單之後,提交完成之後,不允許 刷新,但是允許 返回之後 提交,給用戶修改表單的機會。



解決方法

首先可以防止用戶刷新,處理完成之後用Redirect的方式 跳轉到success頁面,這樣刷新則沒有用。但是返回的時候還可以提交一次緩存的數據。

然後 使用令牌,在頁面表單生成一個token, 這是在請求頁面的時候產生的,放在隱藏域之中。然後把token存在session中。
提交之後,判斷這兩個token是否一樣,是一樣則通過,並且清除session 中的 token,這樣就能防止返回之後再次提交,因爲返回的時候點擊提交讀取的是緩存,但是session已經沒有這個token了。這適用於場景1

對於場景2,直接禁止緩存,那麼返回的時候一定重新請求 表單,用戶可以再次填寫。在用token的情況下,session中的 token總是和 隱藏域中的一致。

在使用令牌的情況下,如果用戶沒有重新請求表單,並且惡意提交之前的Post數據,則在服務器端,session裏面的token已經被清空且沒有重新請求,則session的token爲空不能通過。

[html] view plain copy
  1. <body>  
  2.     <%  
  3.            long token=System.currentTimeMillis();    //產生時間戳的token  
  4.             session.setAttribute("token",token);      
  5.     %>  
  6.     <form  action="isRepeat" method="post">  
  7.         <input type="text"  name="username"/>  
  8.         <input type="text"  name="password"/>  
  9.         <input type="hidden" value="<%=token %>" name="Reqtoken"/>   <!-- 作爲hidden提交 -->  
  10.         <input type="submit" value="提交"/>  
  11.     </form>  
  12. </body>  


[java] view plain copy
  1. String token = req.getParameter("Reqtoken");// 獲取表單上面的時間戳T1  
  2.           
  3.         HttpSession session=req.getSession();  
  4.         String tokenInSession  =  ""+session.getAttribute("token");  
  5.           
  6.         System.out.println("Session in Token: " + tokenInSession);  
  7.         System.out.println("表單的Token:" + token+"\n------------");  
  8.   
  9.         if (tokenInSession!=null && token!=null && token.equals(tokenInSession)) {   
  10.             resp.getWriter().println("ok ");  
  11.             session.removeAttribute("token");  
  12.         } else { //如果禁止緩存,返回會 重新請求,tokenInSession  是不會爲空的  
  13.               
  14.             System.out.println("重複提交,或者有錯誤");//或者有錯誤,直接訪問servlet等  
  15.             resp.sendRedirect("index.jsp");  
  16.             return;  
  17.         }  
  18.   
  19.         resp.sendRedirect("success.jsp"); //此句子導致刷新無效  


禁止緩存的方法,參見另一篇文章




另一種方法: 該方法原理是 記住上一次提交的 頁面token。將本次的token和上次比對,如果一樣說明重複提交。該方法不需要禁用緩存。


[java] view plain copy
  1.               String token = req.getParameter("Reqtoken");// 獲取表單上面的時間戳  
  2.   
  3. HttpSession session=req.getSession();  
  4.   
  5. String LasttokenInSession  =  (String) session.getAttribute("Lasttoken");  
  6.   
  7. //System.out.println("------------\nToken in Session: " + tokenInSession);  
  8. System.out.println("表單的Token:" + token);  
  9. System.out.println("上一次表單的Token:" + LasttokenInSession);  
  10. //token!=null 是防止用戶直接打開本servlet頁面。LasttokenInSession是空,說明是第一次提交 ,和上一次不想等則說明不是重複提交  
  11. if(token!=null && (LasttokenInSession ==null || !LasttokenInSession.equals(token)) ) {  
  12.   
  13.       
  14.     session.removeAttribute("token");//Token 清空  
  15.       
  16.     session.setAttribute("Lasttoken",token);// 保存上一次  
  17.       
  18. }  
  19. else {   
  20.       
  21.   
  22.         resp.getWriter().println("<h1>表單頁面無效,請返回並且刷新頁面</h1>");  
  23.         resp.getWriter().println("<h1><a href=\"""index.jsp" +"\">返回並刷新</a></h1>");  
  24.       
  25.     resp.getWriter().println("Do not Duplicate submit!");  
  26.     return;  
  27. }  
  28.   
  29. resp.sendRedirect("success.jsp"); //此句子導致刷新無效  




發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

代碼實驗室--log耗時分析

前言 開發過程中在代碼加入合理日誌記錄是非常重要的,經常會在代碼中看見循環語句裏面出現日誌記錄。 問題 在循壞中加入日誌是否合理? 如果在導入百萬級數據或者億級數據是否會對性能產生影響呢? 如果有興趣瞭解,不妨我們一起進入代碼實

7me 2020-07-07 20:56:31

java當前時間獲取

前言 接着源碼閱讀:new Date之旅,補充幾種關於獲取當前時間的方式。 Date 在Java中,獲取當前日期最簡單的方法之一就是直接實例化位於Java包java.util的Date類。 Date date = new Date

7me 2020-07-07 20:56:31

eclipse引用外部類

引入classes時,up到最上,優先加載

7me 2020-07-07 20:04:39

mac15(10.15後) 無法在根目錄創建文件夾的解決

mac 10.15 後如何在根目錄/下創建文件: 進入恢復模式:重啓電腦,按住 Command + R 關閉 SIP:打開終端,輸入:csrutil disable 掛載根目錄:sudo mount -uw / 然後就可以在根

yin__ren 2020-07-06 11:56:29

啓發式搜索求解八數碼問題

啓發式搜索求解八數碼問題問題的定義問題的解決解的表示康託展開逆康託展開不可達狀態的識別啓發函數open表和close表其他搜索過程結果演示源代碼 問題的定義 又稱九宮問題。在3×3的棋盤上,擺有八個棋子,每個棋子上標有1至8的某一

邹邹菁菁瑶瑶 2020-07-06 03:08:21

動物識別專家系統(Java實現)

動物識別專家系統產生式系統問題定義系統實現規則、事實和產生式的表示類的設計匹配順序推理機結果演示源代碼 產生式系統 規則庫 規則庫是用於描述相應領域內知識的產生式集合。它是產生式系統求解問題的基礎,其中對領域知識表達的完整性、

邹邹菁菁瑶瑶 2020-07-06 03:08:21

【雜記】計算機網絡.計網的體系結構

【計算機網絡】小知識總結 很多知識,看書以爲自己都懂,但是自己寫的時候卻總是什麼都寫不下來,也不會總結,所以希望每天都把自己的所獲所想記錄下來,可能寫的很散、很少、很亂,但希望日積月累可以形成更爲系統的知識系統。 爲什麼要進行分層

Stella-Chen 2020-07-06 02:39:49

時間管理——聽《博恩崔西時間管理》的感悟

    所有的人都渴望成功,成功的人故事都不同,但這些成功的人也有他們的共性,比如做事都有條理,都善於利用自己的時間。進來仔細的聽了《博恩崔西時間管理

zhuwei_810713 2020-07-06 01:18:39

android jni demo

一、java類 public class FaceRebuildNative { static { System.loadLibrary("face_jni"); System.loadLibr

mohoward 2020-07-05 17:24:21

VMware Bridge Protocol

    今天使用 VMware 出現了問題,無法使用橋接方式連接網絡,現象是不能連接到網卡設備,提示如下: The network bridge on device VMnet0 is not running. The virtual m

abel__2008 2020-07-05 16:33:31

Java實驗(八)· 多線程 · 四川師範大學《JAVA》實驗報告 八

寫這個實驗報告八原因主要是前面幾個實驗報告網上都有答案,唯獨實驗八的多線程我沒有找到,感覺蠻坑爹的。 【任務一】:編寫程序比較各種排序算法的效率。 要求: 生成若干個隨機數,並改變隨機數的數量。 給出3種以上排序的方法,並寫出它

wang__Ray 2020-07-05 13:40:42

如何看待兼容性

起因:  昨天在看書的時候,有兩個函數着實讓我鬱悶了一番——memcpy 和  memmove。    memcpy還能理解,就是內存複製的意思嘛,

话题在绕弯 2020-07-05 12:21:35

公司中午開了週年慶典

公司今天中午舉辦了週年慶典,哈,就是找個附近的五星酒店吃了頓飯,總公司的幾個CXO從美國飛過來跟着吃了一頓,估計然後就又飛走了。會上還大家合唱了一曲,

huawy 2020-07-05 09:36:57

早上路遇大豬

今早在路上遇到了朋友大豬的車,很高興,於是等紅燈的時候(他的車在我後面)在車裏手舞足蹈,老婆說我興奮異常,有點過度了。感覺不過癮,把車窗打開伸手出去挑

huawy 2020-07-05 09:36:57

沒買到火車票

好幾年沒做過火車了,今年十一回要老家才發現,逢年過節坐火車還是那麼難啊,昨晚7點開始賣30號的車票,好傢伙,沒到7點呢售票處外面就排起了幾十米長的隊伍

huawy 2020-07-05 09:36:57