客户端与服务器端防重复提交

最新推荐文章于 2024-06-28 17:10:22 发布
最新推荐文章于 2024-06-28 17:10:22 发布
阅读量1.4w 收藏
点赞数
分类专栏: 服务器架构/运维 文章标签: js防重提交 token防提交 防重提交

一、客户端防表单重复提交

1.1 实现方式、思路

为了防止用户在客户端重复提交表单,要分析从客户端和服务端对重复提交的表单就行处理,首先是客户端处理重复提交表单,使用JavaScript方法

  • 第一种是只允许表单提交一次,后来的不能再提交

  • 第二种是提交一次后按钮变成不可用

1.2 实现代码

下面是代码的实现

<html>  
<head>  
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">  
<title>Insert title here</title>  
<script type="text/javascript">  

 var isCommit = false;  
 //方式一
 function doSubmit1(){  
    if(! isCommit){  
    isCommit = true;  
        return true;  
    }   else{  
    return false;  
    }  
 } 
 //方式二
 function doSubmit2(){//使提交按钮再提交完成后不可用  
    var input = document.getElementById("submit");  
    input.disabled='disabled';  
    return true;  
 }  
</script>    
</head>  
<body>  
<form action="/GetData.aspx" method="post" onsubmit="return doSubmit()">  
用户名:<input type="text" name="username"><br>  
<input id="submit" type="submit" value="提交" >  
</form>  
</body>  
</html>

客户端防表单重复提交还有一种方式就是由服务端生成一个唯一标识的token,服务端保存,同时发给客户端,客户端提交数据的时候包含该token,客户端提交一次后清除该token,服务端需检测该token是否处理过,一般不推荐这种做法,这样客户端同服务端多了一次交互。

二 服务器端防重复提交

但是仅仅在客户端进行处理是远远不够的,这叫只能防的了君子防不了小人,因为可以根据服务器的提交地址自己写一个表单或者去掉JavaScript代码进行自己的提交,这样仍旧无法阻止客户端的表单的重复提交。

2.1 第一种方式,先判断存在与否

有种有问题的做法是这样的,比如是插入数据到db的,在插入前查询数据库根据业务特征判断该记录是否存在,不存在则插入,貌似没问题,其实在客户端在很多情况下会有重复提交的情况,当第一个请求到了,但数据还没插入到db,第二个请求也来了,查询数据库时同样还是没有,
但当插入数据库时,前一个请求的插入可能已经执行,这样二个同样的数据都插入了db,除非在db上加了唯一索引,这样第二个请求插入db时会报异常,处理掉这个异常即可

这种先查询db,再操作的也可以结合lock来做,检查及插入包含在lock块中,这种情况lock块中的逻辑不要太复杂,耗时太多会让其它的请求等待,并发性能就低了。

2.2 第二种方式,利用缓存来做判断

根据上面的问题有一种做法是在接收到请求时在缓存中保存一个值(要能判别是否重复数据),在做数据处理前判断该缓存是否存在,不存在则处理,存在则说明是重复数据。这种方式在绝大时候是行得通的,因为缓存操作够快,但还是有机率出现重复操作的问题,除非还得加一个全局锁
在判断前先获取锁,拿到锁的进入下一步,处理完了释放锁

2.3 第三种方式,利用token接截(客户端hidden token值)

2.3.1 springboot实现

测试人员用burpsuite工具抓取表单数据,当页面点击提交数据后,工具burpsuite将截取到的数据修改后模拟发送,依然可以正常修改,解决办法 项目添加token验证,

2.3.1.1 第一步:先写token生成和销毁方法

token.java

import java.lang.annotation.*;
@Target(ElementType.METHOD)
@Retention (RetentionPolicy.RUNTIME)
@Documented
public @interface Token {
   boolean save() default false;
   boolean remove() default false;
}

TokenInterceptor.java

import java.lang.reflect.Method;
import java.util.UUID;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

public class TokenInterceptor extends HandlerInterceptorAdapter {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            Token annotation = method.getAnnotation(Token.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.save();
                if (needSaveSession) {
                    request.getSession(false).setAttribute("token", UUID.randomUUID().toString());
                }
                boolean needRemoveSession = annotation.remove();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    request.getSession(false).removeAttribute("token");
                }
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute("token");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("token");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}
2.3.1.2 第二步:写springboot的拦截器,拦截对应的访问方法地址,进行token验证
 /** 
     * 配置拦截器 
     * @author lance 
     * @param registry 
     */  
    public void addInterceptors(InterceptorRegistry registry) {  
        registry.addInterceptor(new TokenInterceptor()).addPathPatterns("/admin/**");  
    }
2.3.1.3 第三步:token注解使用,前端隐藏token

  • 在需要token验证的方法处加入 @Token(save=true) 要进行token验证的地方加入 @Token(remove=true)

  • 并且在 对应的jsp页面 加入 

<input type="hidden" name="token" value="${token}"/>
2.3.2 springmvc实现
2.3.3 servlet实现
有恒则成
关注
专栏目录
防重提交
bgn190215的博客
11-22 426
1.什么是幂等 2.产生原因 3.解决方案 ①配置注解 ②实例化锁 ③AOP 切面 ④注解使用案例 1.什么是幂等 简单来说就是结果一致 在我们编程中常见幂等 select查询天然幂等 delete删除也是幂等,删除同一个多次效果一样 update直接更新某个值的,幂等 update更新累加操作的,非幂等 insert非幂等操作,每次新增一条 2.产生原因 由于重复点击或者网络重发 eg: 点击提交按钮两次; 点击刷新按钮; 使用浏览器后退按钮重复之前的操作,导致重复提交表单; 使用浏览器历史记录重复提交
Asp.net防重提交机制实现方法
10-27
然而,这种方法虽然能在客户端做到一定程度的拦截,但为了全面重复提交,最好还是结合服务器端防重提交机制,比如通过会话状态(Session)或视图状态(ViewState)来追踪提交状态,或者采用Token令牌机制...
防重】API接口重复提交
DreamSun的博客
04-20 1408
在一定的时间内多次请求同一接口,同一参数。由于请求是健康请求,会执行正常的业务逻辑,从而产生大量的废数据。
客户端表单重复提交服务器端session表单重复提交
07-25
客户端表单重复提交服务器端session表单重复提交.
SpringBoot抖方案(止表单重复提交
最新发布
爱笑的boy的博客
06-28 843
SpringBoot抖方案(止表单重复提交
客户端服务端止用户重复提交表单
sean的博客
09-12 619
一、什么是表单重复提交? 当网络有延迟时,用户提交的表单等数据还没有完成此次提交,但用户又多次点击提交,造成用户数据在数据库或存储中被提交多次。 利用线程延迟,简单模拟重复提交。 表单页面为form.html [html] view plain copy form.html <meta http-equiv="keywords" content="keyword1
Spring MVC服务器端重复提交
sthc4683的博客
10-14 886
实现机制是使用token,简单说下: (a)进入下单页,会生成一个token,同时存在两个地方:session(或redis也可以)和页面 (b)提交时,服务器接收到页面的token后,会和session中的token比较,相同则允许提交,同时删除session中的token; (c)如果重复提交,则session中已经没有token(已被步骤b删除),那么校验不通过,则不会真正
服务器端重复提交的一个实现
z343986392的专栏
05-09 510
由于web服务器要同时处理大量的http请求,所以用户的某个提交会得不到及时的相应。 这样用户会有意无意的重复点击提交,如果没有很好的措施来止这种情况。会对系统的安全性带来隐患。 常用的重复提交的方法有两种: 1.通过javascript代码在客户端浏览器进行处理。 2.在服务器端进行处理。   其中第二种的安全性更高。   以下是一个在服务器端进行的止用户重复提交的一个实...
客户端服务器端止表单重复提交
芊李马
06-09 2829
一、什么是表单重复提交
客户端表单重复提交服务器端session表单重复提交实用.pdf
02-13
客户端护提供了一定程度的用户体验优化,而服务器端护确保了即使在客户端护被绕过的情况下,也能止恶意的重复提交。在实际应用中,根据项目需求和安全级别,可以选择适合的护策略组合。
j2ee服务器端避免重复提交
12-08
下面将详细介绍如何在J2EE服务器端避免重复提交。 1. **事务管理**: J2EE服务器通常支持事务管理,通过在业务逻辑层(EJB或Spring Bean)中使用事务边界,可以确保一次只有一个提交操作被执行。例如,使用Java ...
springboot2.1+redis+拦截器 止表单重复提交
10-05
springboot2.1+redis+拦截器 止表单重复提交详细完整介绍,所用到的文件都上传了,下载即可使用。自己花了半天整理,并且测试通过,使用在实际项目中的,希望对每一个下载的朋友有帮助。
Spring Boot如何重复提交
08-25
主要为大家详细介绍了Spring Boot如何重复提交,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring 重复提交
02-05
Spring 重复提交,可以参考文档内容配置和编写,相关代码。
止表单重复提交的方法(简单的token方式)
01-07
止表单重复提交的方法(简单的token方式),内附实现代码及实现思路。
spring boot 重复提交实现方法详解
08-25
Spring Boot 重复提交是指在用户提交表单或请求时,止同一客户端在短时间内对同一 URL 的重复提交,从而避免服务器端的处理压力和数据的一致性问题。下面将详细介绍 Spring Boot 重复提交实现方法的相关...
Spring AOP开发服务端防重提交功能
现场喷口水的专栏
12-24 709
我们在网页上点击按钮的时候由于网速等等的原因,可能会出现多次点击同一个按钮的情况,如果没有防重提交功能就会导致数据库数据重复问题。客户端防重提交经常使用一个变量判断数据提交过程,在提交过程中会让按钮不可点击来防重提交。今天我就来介绍一下服务端是如何实现防重提交功能的。 这里我的防重提交功能需要使用到redis,所以你需要提前安装个redis软件。 我们只需要创建两个类,一个自定义注解...
利用Session止表单重复提交问题
liushijiao258的专栏
11-06 369
问题:  同一个用户打开同一个浏览器进程的多个窗口来并发访问同一个WEB站点的多个FORM表单页面时,将会出现表单无法正常提交的情况。 解决方案: 将FORM表单的标识号作为表单隐藏字段的名称,如下所示:   将所有的表单标识号存储进一个Vector集合对象中,并将Vector集合对象存储进Session域中。当表单提交时,先从Session域中取出Vector集合对象,然后再从Vec
后端服务器如何简单的避免重复提交
shandalue的专栏
10-28 8285
业务场景:用户点击购买后,修改订单状态,修改用户账户余额,并添加用户消费记录。 分析:这里在同一个事务里有三个动作,两个是更新,一个是添加。如果这时候出现并发情况,那么用户消费记录肯定会多出一条,用户账户余额也可能出现错误。那么该如何止呢?在修改前查询订单状态判断是否已经修改过明显不能解决问题。因为数据库一般默认update操作会占有一个行级锁,别人无法修改这条记录,但是可以查询到。
PHP止表单重复提交客户端服务器端策略
在PHP开发中,止表单...通过结合客户端服务器端的验证,可以有效地止表单的重复提交,保护数据的完整性和安全性。开发者需要在设计系统时考虑到这些潜在问题,并确保用户得到友好的提示,以免造成用户体验下降。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值