心得3--表单提交时防止用户不小心提交多次及有人恶意提交案例分析

最新推荐文章于 2020-02-04 15:55:53 发布
最新推荐文章于 2020-02-04 15:55:53 发布
阅读量2.3k 收藏
点赞数
分类专栏: Servlet J2EE 详谈JavaWeb 文章标签: java Java JAVA random servlet 语言 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangkai_hudong/article/details/8152742
版权
J2EE 同时被 3 个专栏收录
120 篇文章 0 订阅
订阅专栏
详谈JavaWeb
61 篇文章 63 订阅
订阅专栏
Servlet
19 篇文章 0 订阅
订阅专栏 
1.session案例:防止表单重复提交

     JS语言写的防止客户意外提交表单(比如网速不给力时,客户多次点提交按钮)

<script>

   var flag =false;

   function check(){

   if(!flag){

   //设置按过按钮后变成灰色

    document.getElementById("sub").disabled=true;

     flag= true;

     returntrue;

   }else{

     alert("已提交,不能重复提交!!");

      returnfalse;

   }

   }

   </script>

Html代码:

<body>

    <formaction="Repeat"method="post"οnsubmit="returncheck()">

    用户:<inputtype="text"name="name"><br><br>

    <inputtype="submit"value="提交"id="sub">

    </form>

  </body>

这样编程的不足:但用户单击“刷新”,或单击“后退”再次提交表单,将导致表单重复提交

2. 由于上面所说的弊端,有了新的检验编程,用servlet类编写

l    表单页面由servlet程序生成,servlet为每次产生的表单页面分配一个唯一的随机标识号,并在FORM表单的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号。

l    当用户提交FORM表单时,负责处理表单提交的serlvet得到表单提交的标识号,并与session中存储的标识号比较,如果相同则处理表单提交,处理完后清除当前用户的Session域中存储的标识号。

l    在下列情况下,服务器程序将拒绝用户提交的表单请求:

ü    当前用户的Session中不存在表单标识号

ü    用户提交的表单数据中没有标识号字段

ü    存储Session域中的表单标识号与表单提交的标识号不同

3. MD5算法

                                 

4.BASE64编码

l    BASE64编码规则将一组连续的字节数据按6个bit位进行分组,然后对每组数据用一个ASCII字符来表示。6个bit位最多能表示26=64个数值,因此可以使用64个ASCII字符来对应这64个数值,这64个ASCII字符为:

   "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

l    计算[0110,0001] [0110,0010] [0110,0011]的BASE64编码

   [0110,0001] [0110,0010] [0110,0011]à[0110,00] [01,0110,] [0010,01] [10,0011]

   [0110,00] [01,0110,] [0010,01] [10,0011] à [24]10 [22]10 [9]10 [35]10

   [24]10 [22]10 [9]10 [35]10 à "YWJj" 

l    BASE64编码要求把3个8位字节(即24个bit)的数据转化为4个6位字节(也是24个bit)的数据,如果原来的8位字节数据的字节个数不能被3整除,那么如何对余下的1个或2个8位字节数据进行处理呢?

   仍然按6个bit位对剩余的字节进行分组,在最后不够6个bit位的内容后面添加几个为0的bit位来凑成6个bit位,例如,[0110,0001] à [0110,00] [01,0000] 

l    如果编码后的整个结果文本的字符个数不是4的整数倍,那么需要在最后填充“=”字符来凑成4的倍数。 

l    经过BASE64编码后的结果所占用的字节个数大约是原始内容的4/3倍,计算公式为:编码后的大小 = ((原始大小+2)/3)*4 。

5.session案例:一次性校验码

l    一次性验证码的主要目的就是为了限制人们利用工具软件来暴力猜测密码。 

l    服务器程序接收到表单数据后,首先判断用户是否填写了正确的验证码,只有该验证码与服务器端保存的验证码匹配时,服务器程序才开始正常的表单处理流程。

l    密码猜测工具要逐一尝试每个密码的前题条件是先输入正确的验证码,而验证码是一次性有效的,这样基本上就阻断了密码猜测工具的自动地处理过程。

验证码案例:(红色代码是与servlet类连接所需)

packagecom.session;

 

importjava.awt.Color;

importjava.awt.Font;

importjava.awt.Graphics;

importjava.awt.Graphics2D;

importjava.awt.image.BufferedImage;

importjava.io.IOException;

importjava.util.Random;

importjavax.imageio.ImageIO;

importjavax.servlet.ServletException;

importjavax.servlet.http.HttpServlet;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

 

publicclass CheckCode extends HttpServlet {

   private static final int WIDTH = 130;

   private static final int HEIGHT = 30;

   public void doGet(HttpServletRequest request,HttpServletResponse response)

        throws ServletException, IOException {

      // 1.创建图片

      BufferedImage image = newBufferedImage(WIDTH, HEIGHT,BufferedImage.TYPE_INT_RGB);

      // 2.得到图片

      Graphics g = image.getGraphics();

      // 3 对图片进行绘制

      // a.设置图片的背景色

      setBackGround(g);

      // c.添加干扰线

      setRandomLine(g);

      // g.向图形中写数据

      String checkcode =setRandomNum(g);

     request.getSession().setAttribute("imgcode",checkcode);

      // 4.把图片写给浏览器

      response.setContentType("image/jpeg");

      // 告诉浏览器不要缓存

      response.setHeader("Pragma","no-cache");

      response.setHeader("Cache-Control","no-cache");

      response.setIntHeader("Expires",-1);

      ImageIO.write(image, "JPEG",response.getOutputStream());

   }

   private String setRandomNum(Graphics g) {

      g.setFont(new Font("宋体", Font.BOLD,25));

      Random random = new Random();

     StringBuffer sb = new StringBuffer();

      int x = 10;

      for (int i = 0; i < 4; i++) {

        // 产生随机数

        String str = String.valueOf(random.nextInt(10));

        sb.append(str);

        g.setColor(newColor(random.nextInt(255), random.nextInt(255),

              random.nextInt(255)));

        int degree = random.nextInt() % 30;

      ((Graphics2D) g).rotate(degree * Math.PI /180, x, 20);

        g.drawString(str, x, 20);

      ((Graphics2D) g).rotate(-degree * Math.PI/ 180, x, 20);

        x += 30;

      }

      return sb.toString();

   }

   private void setRandomLine(Graphics g) {

      g.setColor(Color.green);

      Random random = new Random();

      for (int i = 0; i < 5; i++) {

        int x1 = random.nextInt(WIDTH);

        int y1 = random.nextInt(HEIGHT);

        int x2 = random.nextInt(WIDTH);

        int y2 = random.nextInt(HEIGHT);

        g.drawLine(x1, y1, x2, y2);

      }

   }

   private void setBackGround(Graphics g) {

      g.setColor(Color.WHITE);

      g.fillRect(0, 0, WIDTH, HEIGHT);

   }

   public void doPost(HttpServletRequestrequest, HttpServletResponse response)

        throws ServletException, IOException {

      doGet(request, response);

   }

}

验证码判断:

String checkcode =request.getParameter("checkcode");

      String imgcode = (String) request.getSession().getAttribute("imgcode");

      //验证码判断

      if (checkcode !=null && imgcode!=null && checkcode.equals(imgcode)) {

}else{输出验证码错误}

6. 表单提交案例:

package com.repeated;

 

import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.util.Random;

import sun.misc.BASE64Encoder;

 

publicclass Token {

   //构造方法私有化

   private Token(){

      

   }

   publicstaticfinal Tokenentity =new Token();

   publicstaticTokengetEntity(){

      returnentity;     

   }

   public String generaToken(){

      

      String token = System.currentTimeMillis() +new Random().nextInt()+"";

      try {

        //运用MD5算法

        MessageDigest md = MessageDigest.getInstance("md5");

        byte[] md5 = md.digest(token.getBytes());

        //用base64编码转换

        BASE64Encoder encoder = new BASE64Encoder();

        return encoder.encode(md5);      

      } catch (NoSuchAlgorithmException e) {

        thrownew RuntimeException(e);

      }

   }

}

packagecom.repeated;

 

importjava.io.IOException;

importjava.io.PrintWriter;

importjavax.servlet.ServletException;

importjavax.servlet.http.HttpServlet;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

publicclass Form extends HttpServlet {

 

   public void doGet(HttpServletRequest request,HttpServletResponse response)

        throws ServletException, IOException {

      response.setContentType("text/html;charset=UTF-8");

      PrintWriter pw = response.getWriter();

 

      Token t = Token.getEntity();

      String token = t.generaToken();

      request.getSession().setAttribute("token",token);

      pw.print("<form action='./FormDel'method='post'>");

      pw.print("<input type='hidden'name='token' value='"+token+"'>");

      pw.print("用户名:<inputtype='text' name='name'><br>");

      pw.print("<input type='submit'value='提交'>");

      pw.print("</form>");

   }

   public void doPost(HttpServletRequestrequest, HttpServletResponse response)

        throws ServletException, IOException {

      doGet(request, response);

   }

}

 

packagecom.repeated;

importjava.io.IOException;

importjavax.servlet.ServletException;

importjavax.servlet.http.HttpServlet;

importjavax.servlet.http.HttpServletRequest;

importjavax.servlet.http.HttpServletResponse;

importjavax.swing.JOptionPane;

publicclass FormDel extends HttpServlet {

   public void doGet(HttpServletRequest request,HttpServletResponse response)

        throws ServletException, IOException {

      response.setContentType("text/html;charset=UTF-8");

      request.setCharacterEncoding("UTF-8");

      boolean flag = checkToken(request);

      if(!flag){

        JOptionPane.showMessageDialog(null,"不能重复提交数据!!!");

   request.getRequestDispatcher("./Form").forward(request,response);

        return;

      }

      request.removeAttribute("token");

      response.getWriter().println("注册成功!!!");

   }

   private boolean checkToken(HttpServletRequestrequest) {

      String clientToken =request.getParameter("token");

      String ServiceToken = (String)request.getSession().getAttribute("token");

        if(clientToken == null){

         returnfalse;

        }

        if(ServiceToken == null){

         returnfalse;

        }

        if(clientToken.equals(ServiceToken)){

         returnfalse;

        }

        return true;

   }

   public void doPost(HttpServletRequestrequest, HttpServletResponse response)

        throws ServletException, IOException {

      doGet(request, response);

   }

}


 

y_keven
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
微信小程序---提交表单后清空输入框
03-29
最近有人问我提交表单后怎么把输入框的内容清空了。  这种方法不止一种, 1、可以用表单的重置功能。 按钮设置:   formType="reset">提交 form设置:   bindreset="formReset"> 表单重置会触发reset事件,在...
表单提交防范xss攻击
qq_40194668的博客
02-25 507
使用HTMLPurifier过滤器过滤表单提交数据之后再进行数据插入数据表 1、定义过滤数据方法 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './vendor/purifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::
Web表单提交漏洞
bocai_xiaodaidai的博客
12-20 1813
一、漏洞的存在 某些网站服务端存在权限校验漏洞,使得前端可以随意提交任何表单信息。 二、漏洞演示 1、以下是某网站表单信息。对于普通用户是无法提交表单信息的,该网站仅仅隐藏了提交按钮,但内容仍可编辑。 可以通过尝试直接在浏览器的html中加入<button type='submit'>来提交。如何该网站服务端没有设置相应提交权限,则会修改成功。 2、以下是另一个网站...
php表单加入Token防止重复提交的方法分析
洋洋
11-29 617
Token浅谈 Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方——防止表单重复提交、anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session token来实现的。当客户端请求页面,服务器会生成一个随机数Token,并且将Token
防止恶意提交的方法
lansexingkong的专栏
06-15 5127
做web开发的候,经常会遇到表单提交的内容,比如帖子,评论等。这候我们就的注意防止用户恶意攻击了。我做了一下总结,如果还有其它好的方法,不妨分享一下! 1.添加验证码的控制,可以有效的防止用户恶意攻击了,除非他知道你 的验证码的算法。 2.像discuz中那样form表单中增加forhash的隐藏域,判断是否是从我的网站中提交的。 3.可以判断两次提交间间隔,用
vue 添加和编辑用同一个表单,el-form表单提交后清空表单数据操作
10-15
主要介绍了vue 添加和编辑用同一个表单,el-form表单提交后清空表单数据操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
laravel-admin表单提交隐藏一些数据,回调获取数据的方法
01-02
表单提交隐藏数据 读取最后一条的插入数据,但这样会造成如果两条数据同插入,会并发出现错误 //忽略掉不需要保存的字段 $form->ignore(['column1', 'column2', 'column3']); 回调获取数据 获取提交数据 // ...
cf7-no-double-submit:联系表格7防止多次提交WordPress插件
05-18
通过enablinig这个插件,当Contact Form 7仍在提交导致多次相同提交通过的表单,它可以防止双击。 对于联系表7版本4.9或更高版本。 安装 通过此存储库下载此插件-单击“克隆或下载”下拉菜单,然后单击“下载ZIP”...
微信小程序开发-form 表单提交和取值
03-29
但是,如果有多个输入控件,我们不可能为每个控件添加 bindinput、bindchange 这类方法来获取值。我们得这样做: 第一步、添加 from 控件,并为其指定 bindsubmit 属性值。 第二步、添加输入控件到 form 中,并为其...
Aap.net过滤恶意参数提交(Application_BeginRequest事件
04-15
Aap.net过滤恶意参数提交(Application_BeginRequest事件
防止form表单提交的几种方式
曰业而安的博客
02-04 3133
1. 背景介绍 在开发项目中肯可能会出现如下情况: 1. 用户的失误操作,多次点击表单提交按钮 2. 由于网速等原因造成页面卡顿,用户重复刷新提交页面 3. 黑客或恶意用户使用postman等工具重复恶意提交表单 .... 这些情况都会导致表单的重复提交,导致数据重复,增加服务器的压力,甚至会造成服务器宕机,因此要有效防止表单重复提交非常必要。 2. 解...
常见404错误原因及其修改
热门推荐
ykblog.github.io
10-31 20万+
1.   最常见的404错误 1).傻瓜式错误 你测试你的servlet,在浏览器地址栏输入servlet类的地址错误;比如你的servlet类地址是:http://localhost:8080/CookieAndSession/Session1;但是你却输成http://localhost:8080/CookieAndsession/Session2CookieAndSession项目
java中使用switch-case的用法及注意事项超全总结
ykblog.github.io
05-29 4万+
今天陈红军老师在用到switch的候,这种设计到最基本的内容,可能忘记它的一些基本语法,出现了一些错误,所以即兴从各种资料查询总结了下面的内容,希望可以帮助那些正在困扰switch错误和各种细节问题的朋友!  1.switch-case注意事项:     switch(A),括号中A的取值只能是整型或者可以转换为整型的数值类型,比如byte、short、int、char、还有枚举;需要强
心得11--案例分析request.getparameter()方法的用法及请求乱码处理、分配器方法
ykblog.github.io
10-25 5849
1.一个案例具体分析:request.getparameter()方法的用法及请求乱码处理 packagecom.request;   importjava.io.IOException; importjava.io.UnsupportedEncodingException; importjava.util.Enumeration; importjavax.servlet.Servle
HTTP请求头和相应头的详细介绍
ykblog.github.io
10-17 5291
请求头 Accept:客户机通过这个头,告诉服务器,它支持哪些数据类型 Accept-Charset::客户机通过这个头,告诉服务器,它支持的编码 Accept-Encoding: 客户机通过这个头,告诉服务器,支持哪种数据压缩格式 Accept-Language: 客户机采用的是哪个语言 Host:客户机通过这个头,告诉服务器,想访问服务器哪台主机 If-Modified-Since
uview-plus 表单提交 vue3
最新发布
05-17
在Vue3中,可以使用`ref`和`watch`来实现表单提交。 首先,需要在`setup()`函数中定义一个`ref`变量来存储表单数据: ```javascript import {ref} from 'vue'; export default { setup() { const formData = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值