Ajax环境下表单防重复、外部提交实现方案记要

最新推荐文章于 2022-03-20 16:14:53 发布
最新推荐文章于 2022-03-20 16:14:53 发布
阅读量150 收藏
点赞数
分类专栏: Web/JQuery/CSS 文章标签: ajax token ext CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_15734/article/details/82365259
版权

背景:

js lib: Ext 3.3.0,未使用 struts、Spring MVC;

 

所有的表单都由 Ext js 方法生成(即非传统 http form 形式, http 源代码中无 form 元素),后台 http request -> action 的处理机制是和 struts、Spring MVC 的实现相仿。

 

方案核心:

通过 token 机制来防止表单重复或外部提交(非常非常的寻常)。

 

方案实现:

如果用 struts 就简单了,加个<s:token/> 再配个 TokenInterceptor 就搞定了 (存在漏洞,详见底部)。

如果用 Spring MVC 就简单了,写个 TokenHandlerInterceptor extends HandlerInterceptorAdapter 再配置下也搞定了。

 

不用 struts、Spring MVC 其实也简单,参考 Spring MVC 在  http request -> action 的处理中加上拦截器机制,再参考 struts 实现 TokenInterceptor 就搞定了。

 

关于 token 值的提交方式:由于form非常规,无法往 form 里添加 token 元素,既然放不到 request body 里,那就放到 request header 里,放到 header 里其实相对来说更灵活些(另外似乎还能避免1个漏洞,详见底部)。

 

Ext request 加 header :

 

Ext.Ajax.defaultHeaders = {
    'Req-Token': tokenValue
};

注:header 的名称是不区分大小写的,根据实际测试情况,IE下通常会把 header 名称都变成小写,而 Firefox 和 Chrome 基本上不会改变,header 名称和我们代码里所写的名称是一致的。后台获取 header 值时需注意这个情况。

 

同样的,response 里也加个 header,将新的 token 值传给客户端。

不专门提供一个获取 token 值的 servlet 的原因:主要是怕该 servlet 压力过大。

 

另外,不能将 token值的提交和form提交分开,必须在同一个请求中同时提交,原因:分开提交无法防止外部提交等非法提交方式。

 

关于是否需要进行 token 校验:由于 TokenInterceptor 配上了,则默认会对所有 request 均校验,为了支持按需进行校验,自定义了@Token 注解,需要校验的action方法只要加上 @Token 即可(注解是个好东西)。

 

特别注意:

CSRF

CSRF攻击原理解析

Struts2 csrf token绕过漏洞

 

iteye_15734
关注
专栏目录
AJAX基础入门
qq331697853的博客
11-30 693
我们平常上网,不管是注册账号,还是浏览网页,其本质就是通过客户端向服务器发送请求,服务器接到请求后返回处理后的数据给客户端; 在我们之前学习代码中,向服务器提交数据典型的应用是就是 form 表单,其中的 action 就是我们提交数据的服务器端地址;完成一个 form 表单; 当我们点击提交按钮时,页面就会跳转到服务器页面;但是,我本不想让页面跳转,数据也能被发送到服务器端,同时,还可以接受服务器返回的数据;当我注册一个网站的账号时,填写完用户名并没有点击提交,但是,用户名如果有重复,文本框的傍边便会提示
环境企业表单权限分配填报数据系统设计与实现
子舆的专栏
06-05 1万+
环境信息化是政府信息化建设的重要组成部分,深入推进环境信息化建设是国家信息化发展的客观要求,是建设服务型政府的重要手段,是实现环境管理科学决策和提升环境监管效能的基本保障。对于一套兼容并包的信息管理系统,不同的类型的企业机构有相对应的属性业务表单,需要对建立的表单建立关联关系,并且系统的用户有填报、审核及管理的多重功能。 本文开发一套系统应用于环境企业的差异化表单填报与用户权限分配的实际场景,可以有效提升系统的管理与业务数据的汇总和分析。 本文完成的主要工作如下: 1.通过对当前业界
外部提交数据
不是程序员
10-30 1456
dim server_v1,server_v2server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) if mid(server_v1,8,len(server_v2))response.write "你提交的路径有误,禁止从站点外部
js与ajax页面动态添加表格,避免重复
tongjun_zhou的博客
03-28 565
js与ajax动态添加表格,并避免重复添加 New Document function test() { var html='AAABBBCCC' $.ajax({ type: 'POST', url: '$path/test!show.do', dataType:'JSON', success:function...
Ajax提交参数的值中带有html标签不能提交成功的解决办法(ASP.NET)
10-20
主要介绍了Ajax提交参数的值中带有html标签不能提交成功的解决办法(ASP.NET),非常不错,具有参考借鉴价值,需要的朋友参考下
这个验证文件可以实现止一些非法的操作,必须在输入的情况下
07-20
实现在客户端随即产生验证码。如果想要实现从客户端验证用户输入的信息就可以使用我的这个验证资源文件。
ajax贪婪提交php,PHP中如何外部恶意提交调用ajax接口
weixin_42365234的博客
03-25 548
PHP中如何外部恶意提交调用ajax接口我们自己网站写好的ajax接口,如果给自己用,那就限定一下来路域名,判断一下来路即可。注意:将www.jb51.net替换成你自己的域名。复制代码 代码如下://判断来路if(!isset($_SERVER['HTTP_REFERER']) || !stripos($_SERVER['HTTP_REFERER'],'www.jb51.net')) {ec...
net文件服务器实现方案,基于.NET Core 3.1 网站开发和部署的方法
weixin_29053073的博客
08-03 1029
一、准备开发环境1.主要开发工具的选择vscode.net core command-line interface (cli) toolsdbeaver这里选择vscode + .net core cli 是因为不管在windows还是linux和mac上都能使用这一套工具,而且命令行工具也非常强大。2.vscode安装c#插件在vscode插件市场中搜索安装即可新手还可以去这里了解vscode的...
Ajax前后端数据交互以及在java里面的应用
yuluo的博客
03-20 2940
Ajax前后端数据交互以及在java里面的应用 介绍 AJAX = Asynchronous JavaScript and XML(异步的 JavaScript 和 XML)。 AJAX 不是新的编程语言,而是一种使用现有标准的新方法。 AJAX 最大的优点是在不重新加载整个页面的情况下,可以与服务器交换数据并更新部分网页内容。 AJAX 不需要任何浏览器插件,但需要用户允许JavaScript在浏览器上执行。 Asynchronous JavaScript + XML(异步JavaScript和XML
Yii2表单事件之Ajax提交实现方法
10-19
总结一下,Yii2提供了方便的方式来处理Ajax表单提交。通过注册JavaScript代码,我们可以监听表单的`beforeSubmit`事件,并利用Ajax发送数据到服务器,而无需页面刷新。这种方法不仅提高了用户体验,也使得代码结构...
AJAX教程
liu_to_liu的博客
06-02 304
AJAX教程1、AJAX1.1 全局刷新和局部刷新1.1.1 全局刷新1.1.2 局部刷新1.1.2.1 异步请求对象1.1.2.2 什么是Ajax2、AJAX 异步实现步骤2.1 创建对象方式2.2 onreadstatechange 事件 1、AJAX 1.1 全局刷新和局部刷新 1.1.1 全局刷新 1.1.2 局部刷新 1.1.2.1 异步请求对象 1.1.2.2 什么是Ajax 2、AJAX 异步实现步骤 2.1 创建对象方式 var xmlHttp = new XMLHttpR
AJAX技术解析与应用探讨
而使用AJAX,可以实现在用户输入时即时校验,避免了不必要的页面跳转和数据重复提交AJAX的优点: 1. 提升用户体验:页面无需整体刷新,减少了加载时间,使用户感觉更流畅。 2. 数据按需获取:仅请求和处理必要的...
javaweb表单重复提交的几种解决方案
Leonidas的博客
05-14 5986
javaweb表单重复提交的几种解决方案javaweb方向做开发的小伙伴们,肯定都会遇到表单重复提交的问题。 javaweb表单重复提交的几种解决方案 这种问题出现的原因或者说应用场景大致如下: 网络延迟,服务器未能及时做出响应,导致用户不断重复点击提交按钮 用户双击有意识的双击或者多次点击提交按钮 F5刷新页面 点击浏览器后退按钮 归根结底,都是由于浏览器重复发起HT...
ajax异步请求重复提交的方法
热门推荐
幡然醒悟的博客
10-10 1万+
JS通过ajax发起异步请求时,经常会出现一个按钮快速多次点击时,请求进行了多次提交,可能导致很多不必要的问题出现,比如写入某些脏数据等。   此处针对ajax发起请求多次提交的问题进行JS代码处理的简单方法有如下两种: 1、定义lock机制: //提交 var lock = true;//重复提交定义锁 $('.saveRemark').click(function(){ v
SpringMVC 表单提交的解决方案
weixin_34117522的博客
04-22 155
2019独角兽企业重金招聘Python工程师标准>>> ...
止站外提交
weixin_34088598的博客
12-06 141
string servername = Request.ServerVariables["SERVER_NAME"];string referer = Request.ServerVariables["HTTP_REFERER"];Uri uri = new Uri(referer);if (servername != uri.Host){ throw new ...
Struts2表单重复提交策略与web.xml配置详解
然而,开发者还需要确保前端代码正确地处理表单提交,比如使用AJAX时,需要清除或更新令牌,以避免恶意的跨页面刷新导致的重复提交。 总结来说,本文档的核心知识点是:如何在Struts2框架中通过web.xml配置过滤器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值