表單提交防刷(重複提交,惡意提交)的方法

背景與介紹：

平時開發的項目中可能會出現下面這些情況：

• 由於用戶誤操作，多次點擊表單提交按鈕。
• 由於網速等原因造成頁面卡頓，用戶重複刷新提交頁面。
• 黑客或惡意用戶使用postman等工具重複惡意提交表單（攻擊網站）。
  這些情況都會導致表單重複提交，造成數據重複，增加服務器負載，嚴重甚至會造成服務器宕機。因此有效防止表單重複提交有一定的必要性。

解決方案

通過JavaScript屏蔽提交按鈕（不推薦）

<script type="text/javascript">
            //默認提交狀態爲false
            var flag= false;
            function dosubmit(){
                  if(commitStatus==false){
                //提交表單後，講提交狀態改爲true
                  flag= true;
                  return true;
                 }else{
                  return false;
              }
             }
      </script>

通過js代碼，當用戶點擊提交按鈕後，屏蔽提交按鈕使用戶無法點擊提交按鈕或點擊無效，從而實現防止表單重複提交.
問題:
js代碼很容易被繞過。比如用戶通過刷新頁面方式，或使用postman等工具繞過前段頁面仍能重複提交表單。因此不推薦此方法。

給數據庫增加唯一鍵約束（簡單粗暴)

在數據庫建表的時候在ID字段添加主鍵約束，郵箱、電話、身份信息等字段加唯一性約束。確保數據庫只可以添加一條數據。

數據庫加唯一性約束sql：

alter table user add  unique key phone(field1, field2)

服務器及時捕捉插入數據異常：

try {
                UserMapper.insert(user);
            } catch (DuplicateKeyException e) {
                logger.error("user already exist");
            }

通過數據庫加唯一鍵約束能有效避免數據庫重複插入相同數據。但無法阻止惡意用戶重複提交表單（攻擊網站），服務器大量執行sql插入語句，增加服務器和數據庫負荷。

利用Session防止表單重複提交（推薦）

實現原理：

• 服務器跳轉表單頁面時，會先生成一個subToken保存於session，並把該subToen傳給表單頁面。
• 當表單提交時會帶上subToken，服務器攔截器Interceptor會攔截該請求，攔截器判斷session保存的subToken和表單提交subToken是否一致。若不一致或session的subToken爲空或表單未攜帶subToken則不通過。
• 首次提交表單時session的subToken與表單攜帶的subToken一致走正常流程，然後攔截器內會刪除session保存的subToken。當再次提交表單時由於session的subToken爲空則不通過。從而實現了防止表單重複提交。

使用：

mvc配置文件加入攔截器配置

<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>

攔截器

public class AvoidDuplicateSubmissionInterceptor extends
        HandlerInterceptorAdapter {

    public AvoidDuplicateSubmissionInterceptor() {
    }

    @Override
    public boolean preHandle(HttpServletRequest request,
                             HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            SubToken annotation = method
                    .getAnnotation(SubToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.saveToken();
                if (needSaveSession) {
                    request.getSession(false)
                            .setAttribute(
                                    "subToken",
                                    TokenProcessor.getInstance().generateToken(
                                            request));
                }

                boolean needRemoveSession = annotation.removeToken();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    request.getSession(false).removeAttribute("subToken");
                }
            }
        }
        return true;
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute(
                "subToken");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("subToken");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}  

Spring MVC提供的org.springframework.web.servlet.handler.HandlerInterceptorAdapter這個適配器，繼承此類，可以非常方便的實現自己的攔截器
preHandle:在業務處理器處理請求之前被調用。預處理，可以進行編碼、安全控制等處理；

postHandle:在業務處理器處理請求執行完成後，生成視圖之前執行。後處理（調用了Service並返回ModelAndView，但未進行頁面渲染），有機會修改ModelAndView；

afterCompletion:在DispatcherServlet完全處理完請求後被調用，可用於清理資源等。返回處理（已經渲染了頁面），可以根據ex是否爲null判斷是否發生了異常，進行日誌記錄；

使用AOP自定義切入實現(推薦)

實現原理：

• @Aspect 聲明當前類是一個切面
• 定義切點表達式@Pointcut(“execution(* com.supplier.controller..(…))”)
  表達式對應需要AOP切面方法(表單提交方法)。
• 定義通知類型@Before,前置通知
• 通知+切點@Before註解的方法實爲通知(定義了增強),value=切點(aspectService)

每次提交表單時，Aspect都會保存當前key到reids（須設置過期時間）。
重複提交時Aspect會判斷當前redis是否有該key，若有則攔截。

/**
 * AOP 攔截通過切點表達式攔截所有controller訪問,判斷是否重複提交表單
 * 
 * @Aspect 聲明當前類是一個切面
 * 
 * @author 張江豐
 *
 */
@Aspect
@Component
public class SellerAuthorizeAspect {

	@Autowired
	private RedisUtil redisUtil;

	private static final Log logger = LogFactory.getLog(SellerAuthorizeAspect.class);
	/**
	 * 第一個*是切點方法的返回值類型、第二個*是controller包下所有的controller、後面是controller裏以user開頭的所有方法（無論方法裏面有沒有參數）
	 **/
	@Pointcut("execution(*com.springboot.agriculture.controller..*.user*(..))")
	public void aspectService() {

	}

	/**
	 * @Before註解的方法實爲通知(定義了增強),value=切點(aspectService)
	 */
	@Before(value = "aspectService()")
	public void before() throws ServletException, IOException {
		// 獲取request、response、session
		ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
				.getRequestAttributes();
		HttpServletRequest request = requestAttributes.getRequest();
		//每次攔截當前用戶提交數據,判斷請求在redis是否存在,
		if(redisUtil.hasKey(user)){
					存在攔截
		}else{
				不存在提交表單
				//提交表單,保存用戶信息(key)和方法名(value),設置過期時間到redis
		}
	}
}