利用session防止表单重复提交

最新推荐文章于 2023-06-30 16:16:38 发布
最新推荐文章于 2023-06-30 16:16:38 发布
阅读量873 收藏 4
点赞数
分类专栏: tomcat servlet web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PacosonSWJTU/article/details/109957876
版权
web 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
servlet
12 篇文章 0 订阅
订阅专栏
tomcat
10 篇文章 1 订阅
订阅专栏

1、是什么?一个表单不能多次提交;

2、为什么? 在网络不好或者并发请求时会导致多次重复提交数据的问题。防止重复提交,可以维护数据一致性;

3、怎么做? 把 session的编号和当前时间戳经过 MD5 加密得到token并存入 session;更多token 介绍参见 https://blog.csdn.net/PacosonSWJTU/article/details/109958455  

更多加密算法介绍(MD5, SHA, AES, DES ),参见  https://blog.csdn.net/PacosonSWJTU/article/details/109954811

 

【荔枝】转自 张孝祥  

token 生成方式如下:  (更加通用的方法是,把 用户名,密码当做加密源进行加密,得到摘要作为token) 

/**
	 * 产生表单标识号并将之保存在当前用户Session中。
	 *
	 *@param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized void saveToken(HttpServletRequest request)
	{
		HttpSession session = request.getSession();
		try 
		{
			byte id[] = session.getId().getBytes();
			long current = System.currentTimeMillis();
			if (current == previous)
			{
				current++;
			}
			previous = current;
			byte now[] = String.valueOf(current).getBytes();
			// 基于MD5加密 
			MessageDigest md = MessageDigest.getInstance("MD5");
			md.update(id);
			md.update(now);
			String token = toHex(md.digest());
			session.setAttribute(FORM_TOKEN_KEY, token);
		}
		catch (NoSuchAlgorithmException e)
		{
			;
		}
	}

生成表单的servlet,该表单会带上token; (有token,可以理解为已经登录了,登录信息加密为token令牌) 

// 填写表单
public class FormGenerateServlet extends HttpServlet
{
	public void service(HttpServletRequest request,
		HttpServletResponse response) throws ServletException, IOException
	{
		response.setContentType("text/html;charset=GB2312");
		PrintWriter out = response.getWriter();
		TokenProcessor.getInstance().saveToken(request);
		String token = (String)request.getSession().getAttribute(
					TokenProcessor.FORM_TOKEN_KEY);
		out.println("<form action='FormDealServlet'" + "method='POST'>" +
			"<input type='hidden' name='" + TokenProcessor.FORM_TOKEN_KEY + 
				"' value='" + token + "'>" +
			"字段1:<input type='text' name='p1'><br>" +
			"<input type='submit' value='提交'> " +
			"</form>");
	}
}

处理逻辑servlet DealServlet, 可以看到, 一旦提交成功, 该servlet 会把 token 从 会话移除, 防止二次提交; 

// 表单处理逻辑 servlet 
public class FormDealServlet extends HttpServlet
{
	public void service(HttpServletRequest request,
		HttpServletResponse response) throws ServletException, IOException
	{
		response.setContentType("text/html;charset=GB2312");
			
		PrintWriter out = response.getWriter();	
		TokenProcessor tokenProcessor = TokenProcessor.getInstance();
		
		if(!tokenProcessor.isTokenValid(request))
		{
			out.println("这是重复或非法提交!");
			return;
		}
		
		String p1 = request.getParameter("p1");
		if(p1==null || p1.trim().equals(""))
		{
			out.println("请输入内容!");
		}
		else
		{
			out.println("提交内容已被处理!");
			tokenProcessor.resetToken(request); // 一旦处理成功, 移除掉token ,防止2次重复提交 
		}
	}
}

=========== TokenProcessor全部代码如下:


// token标识处理器 
public class TokenProcessor
{
	private long previous;  //上次生成表单标识号的时间值
	private static TokenProcessor instance = new TokenProcessor();
	public static String FORM_TOKEN_KEY = "FORM_TOKEN_KEY";
	
	private TokenProcessor()
	{
	}
	
	public static TokenProcessor getInstance()
	{
		return instance;
	}

	/**
	 *验证请求消息中的标识号是否有效,如果请求消息中的表单标识号与当前
	 *用户的Session域中的表单标识号相同,返回结果为true,否则返回false。
	 *
	 *@param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized boolean isTokenValid(HttpServletRequest request)
	{
		/*为避免Session对象不存在时创建Session对象,
		下面的语句不用request.getSession()*/
		HttpSession session = request.getSession(false);
		if (session == null)
		{
			return false;
		}

		String saved = (String) session.getAttribute(FORM_TOKEN_KEY);
		if (saved == null)
		{
			return false;
		}
		
		String token = request.getParameter(FORM_TOKEN_KEY);
		if (token == null)
		{
			return false;
		}

		return saved.equals(token);
	}

	/**
	 * 清除存储在当前用户Session中的表单标识号。
	 *
	 *@param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized void resetToken(HttpServletRequest request)
	{
		HttpSession session = request.getSession(false);
		if (session == null)
		{
			return;
		}
		
		session.removeAttribute(FORM_TOKEN_KEY);
	}

	/**
	 * 产生表单标识号并将之保存在当前用户Session中。
	 *
	 *@param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized void saveToken(HttpServletRequest request)
	{
		HttpSession session = request.getSession();
		try 
		{
			byte id[] = session.getId().getBytes();
			long current = System.currentTimeMillis();
			if (current == previous)
			{
				current++;
			}
			previous = current;
			byte now[] = String.valueOf(current).getBytes();
			// 基于MD5加密 
			MessageDigest md = MessageDigest.getInstance("MD5");
			md.update(id);
			md.update(now);
			String token = toHex(md.digest());
			session.setAttribute(FORM_TOKEN_KEY, token);
		}
		catch (NoSuchAlgorithmException e)
		{
			;
		}
	}

	/**
	 * 将一个字节数组转换成十六进制的字符串形式返回。
	 * @param buffer 要被转换的字节数组
	 */
	private String toHex(byte buffer[])
	{
		StringBuffer sb = new StringBuffer(buffer.length * 2);
		for (int i = 0; i < buffer.length; i++)
		{
  			sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
			sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
		}
		return sb.toString();
	}
}


4、访问记录 

步骤1, 

步骤2,输入值,提交; 

步骤3,刷新, (系统判定为重复提交,因为第2步,提交成功后, 系统移除了token ) 

 

 

tomjourney
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot使用Session防止重复提交(提供Gitee源码)
黄团团的个人博客
06-17 1612
在日常开发中,客户可能会存在反复点击提交按钮导致重复提交,这个问题也是非常需要重视的,在本篇博客中,采用的是session、自定义注解和拦截器的方式来防止重复重复提交,提高整体代码的优雅和整洁度!
使用Session防止重复提交
qq_24892029的博客
08-03 500
一:保存会话数据的两种技术 1、Cookie   Cookie是客户端技术,程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去。这样,web资源处理的就是用户各自的数据了。 2、Session   Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的sess
浅谈利用Session防止重复提交
08-28
主要介绍了浅谈利用Session防止重复提交,简介绍重复提交的情况,分析,以及解决方法代码示例,具有一定借鉴价值,需要的朋友可以了解下。
防止重复提交 方法汇总
最新发布
Qyq0498的博客
06-30 1412
在打开页面方法上,设置createToken()为true,此时拦截器会在Session中保存一个token,同时需要在页面中添加<input type="hidden" name="token" th:value="${session.token}">,保存方法需要验证重复提交的,设置removeToken为true,此时会在拦截器中验证是否重复提交。在服务器端判断客户端提交上来的token与服务器端生成的token是否一致:如果不一致,那就是重复提交了,此时服务器端就可以不处理重复提交
session案例:防止重复提交、一次性校验码
java小兵
05-29 3330
session案例1:防止重复提交 原理: 1,页面由servlet程序生成,servlet为每次产生的页面分配一个唯一的随机标识号,并在FORM的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号。 2,当用户提交FORM时,负责处理提交的serlvet得到提交的标识号,并与session中存储的标识号比较,如果相同则处理提交,处
springboot项目中接口防止恶意请求多次,重复请求的解决办法,适合小白
热门推荐
weixin_40918145的博客
09-22 1万+
springboot项目中接口防止恶意请求多次 在项目中,接口的暴露在外面,很多人就会恶意多次快速请求,那我们开发的接口和服务器在这样的频率下的话,服务器和数据库很快会奔溃的,那我们该怎么防止接口防刷呢?由于博主小白,很多都不懂,都是从网上一点一点的找资料最后成功的。 解决方案:采用注解方式 其实也就是spring拦截器来实现。在需要防刷的方法上,加上防刷的注解,拦截器拦截这些注解的方法后,进行接口存储到redis中。当用户多次请求时,我们可以累积他的请求次数,达到了上限,我们就可以给他提...
PHP+Session防止重复提交的解决方法
10-18
echo "请不用重复提交<a href='index.php'>PHP+SESSION防止重复提交</a>"; } } ?> ``` 除了上述方法,还可以使用另一种基于Token的策略来防止重复提交。在中添加一个隐藏的Token字段,其值存储在Session...
thinkphp3.2 防止重复提交
09-10
在Web开发中,防止重复提交是一个重要的问题,它能确保用户操作的唯一性和数据的一致性。ThinkPHP 3.2 是一个基于MVC模式的PHP开发框架,提供了丰富的功能来帮助开发者构建安全、高效的应用。在这个场景中,我们...
php中如何防止重复提交
10-27
以下是一些常用的防止重复提交的方法: 1. **利用Session存储状态**: 这是上述代码中所采用的方法。在用户首次提交时,会将用户的IP地址存储到Session中。如果用户尝试再次提交,系统会检查Session中是否...
利用Session防止重复提交
amork的专栏
03-14 5044
<br />解决项目中重复提交的问题,在平常的项目中有以下几种可能出现重复提交的情况,比如说:<br /> 1 由于服务器缓慢或者网络延迟的原因,重复点击提交按钮<br /> 2 已经提交成功,但是还不停刷新成功页面<br /> 3 已经提交成功,通过回退,再次点击提交按钮。<br />这些情况都可能使数据库中产生过多相同的冗余数据,浪费数据库资源。只有转发才会出现,重定向则不会。<br /> 针对第一种情况的解决方案(使用JavaScript),对后面两种无效:<br /> 首先在页面中添加如下格
session 防止重复提交
chenjin_chenjin的博客
03-22 397
   防止重复提交,是每个开发人员不可回避的问题。解决方式也有多种,这里记录一下的三种方式。重复提交的三种情况:(1)、网速较慢,或者延迟高,导致用户多次点击提交按钮。(2)、回退页面后再次提交。(3)、点击提交后,再次刷洗页面。(4)、打开多个tab,然后依次提交。一 解决方式。 对于情况1,可以提交后将button设置为不可用。或者添加flag,第一次提交将flag设置为true,再次...
Session防止重复提交
07-01 1129
session防止提交的原理如图,就是将服务器端的编号和浏览器端的编号相比较。 我这个提交的原理是: (1)通过一个servlet(a)访问到一个,在servlet跳转到之前,就在session作用域中生成一个tooken属性           session.setAttribute("tooken", Math.random()+""); (随机数可能会
防止重复提交的4种方法
u013733643的博客
04-09 1万+
1.背景与介绍: 平时开发的项目中可能会出现下面这些情况: 由于用户误操作,多次点击提交按钮。 由于网速等原因造成页面卡顿,用户重复刷新提交页面。 黑客或恶意用户使用postman等工具重复恶意提交(攻击网站)。 这些情况都会导致重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止重复提交有一定的必要性。 2.解决方案 2.1 通过JavaScript屏蔽提交按钮(不推荐) 通过js代码,当用户点击提交按钮后,屏蔽提交按钮使用户无法点击提交按钮或点击无
JavaWeb学习总结(十三)——使用Session防止重复提交
改变ing
08-14 188
参考:https://www.cnblogs.com/xdp-gacl/p/3859416.html 目录 一、重复提交的常见应用场景 1.1、场景一:在网络延迟的情况下让用户有时间点击多次submit按钮导致重复提交  1.2、场景二:提交后用户点击【刷新】按钮导致重复提交 1.3、场景三:用户提交后,点击浏览器的【后退】按钮回退到页面后进行再次提交 二、利用...
使用Session防止重复提交(超详细)
街角有人祝福,巷口有人哭~
11-25 1945
文章链接:https://www.cnblogs.com/joyco773/p/6038022.html
使用session在服务端防止重复提交
一包大豫竹的博客
01-26 1968
相较于在客户端使用js等方式防止用户重复点击或者通过别的方式重复提交,在服务端使用session防止重复提交更能解决问题。当然前后端结合使用会给用户更好的体验思路:1、获取一个独一无二的token(防止重复提交的key),我们这里使用一个自己封装好的方(TokenProccessor),把获取到的token加到session中。2、新建form.jsp页面。使用servlet将token转发
使用session防止进行重复提交
weixin_30354675的博客
05-18 134
我们都知道可以通过js的方法来实现防止重复提交,但是js只适用于“在网络延迟的情况下让用户有时间点击多次submit按钮导致重复提交”的情况下进行操作, 那如果碰到“提交后用户点击【刷新】按钮导致重复提交”和“用户提交后,点击浏览器的【后退】按钮回退到页面后进行再次提交”的场景下JS就显得心有余而力不足了,这个时候我们可以通过java当中生成token验证token来实...
javaEE开发中使用session同步和token机制来防止并发重复提交
11-22 460
javaEE开发中使用session同步和token机制来防止并发重复提交     通常在普通的操作当中,我们不需要处理重复提交的,而且有很多方法来防止重复提交。比如在登陆过程中,通过使用redirect,可以让用户登陆之上重定向到后台首页界面,当用户刷新界面时就不会触发重复提交了。或者使用token,隐藏在中,当提交时进行token验证,验证失败也不让提交。这都是一般的做法。
java防止重复提交常用方法
03-23
Java 防止重复提交的常用方法有以下几种: 1. 在中添加一个隐藏字段,用于存储一个随机数或时间戳,每次提交时,先验证该字段的值是否与服务器端保存的值一致,如果不一致,则认为是重复提交。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值