前言
今天发了三篇博客,咋一看这三篇博客毫无联系,网上很多博客也多是将这三篇博客作为三篇不同的主题发表。如果你不将这三篇博客联系起来看,就不能很透彻的防重复提交这个知识点,也不能学完整这个知识体系。为什么说这三篇文章要关联看,我在第三篇博客 springmvc下的基于token的防重复提交 里会阐述原因.下面要讲的三篇博客:
3 springmvc下的基于token的防重复提交:http://blog.csdn.net/wabiaozia/article/details/52065065
2 总结 XSS 与 CSRF 两种跨站攻击:http://blog.csdn.net/wabiaozia/article/details/52064849
1 外刊IT评论:防止表单重复提交的几种策略:http://blog.csdn.net/wabiaozia/article/details/52064772
由于"springmvc下的基于token的防重复提交"网上demo很多,我就不写了,直接拷来一篇。
正文
原文出处:http://blog.csdn.net/mylovepan/article/details/38894941
问题描述:
现在的网站在注册步骤中,由于后台要处理大量信息,造成响应变慢(测试机器性能差也是造成变慢的一个因素),在前端页面提交信息之前,等待后端响应,此时如果用户
再点一次提交按钮,后台会保存多份用户信息。为解决此问题,借鉴了struts2的token思路,在springmvc下实现token。
实现思路:
在springmvc配置文件中加入拦截器的配置,拦截两类请求,一类是到页面的,一类是提交表单的。当转到页面的请求到来时,生成token的名字和token值,一份放到redis缓存中,一份放传给页面表单的隐藏域。(注:这里之所以使用redis缓存,是因为tomcat服务器是集群部署的,要保证token的存储介质是全局线程安全的,而redis是单线程的)
当表单请求提交时,拦截器得到参数中的tokenName和token,然后到缓存中去取token值,如果能匹配上,请求就通过,不能匹配上就不通过。这里的tokenName生成时也是随机的,每次请求都不一样。而从缓存中取token值时,会立即将其删除(删与读是原子的,无线程安全问题)。
实现方式:
TokenInterceptor.java
- package com.xxx.www.common.interceptor;
-
- import java.io.IOException;
- import java.util.HashMap;
- import java.util.Map;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletResponse;
- import org.apache.log4j.Logger;
- import org.springframework.beans.factory.annotation.Autowired;
- import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
- import com.xxx.cache.redis.IRedisCacheClient;
- import com.xxx.common.utility.JsonUtil;
- import com.xxx.www.common.utils.TokenHelper;
-
-
-
-
-
- public class TokenInterceptor extends HandlerInterceptorAdapter
- {
-
- private static Logger log = Logger.getLogger(TokenInterceptor.class);
- private static Map<String , String> viewUrls = new HashMap<String , String>();
- private static Map<String , String> actionUrls = new HashMap<String , String>();
- private Object clock = new Object();
-
- @Autowired
- private IRedisCacheClient redisCacheClient;
- static
- {
- viewUrls.put("/user/regc/brandregnamecard/", "GET");
- viewUrls.put("/user/regc/regnamecard/", "GET");
-
- actionUrls.put("/user/regc/brandregnamecard/", "POST");
- actionUrls.put("/user/regc/regnamecard/", "POST");
- }
- {
- TokenHelper.setRedisCacheClient(redisCacheClient);
- }
-
-
-
-
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception
- {
- String url = request.getRequestURI();
- String method = request.getMethod();
- if(viewUrls.keySet().contains(url) && ((viewUrls.get(url)) == null || viewUrls.get(url).equals(method)))
- {
- TokenHelper.setToken(request);
- return true;
- }
- else if(actionUrls.keySet().contains(url) && ((actionUrls.get(url)) == null || actionUrls.get(url).equals(method)))
- {
- log.debug("Intercepting invocation to check for valid transaction token.");
-