Servlet处理表单重复提交and利用referer防盗链and实现request包含页面

最新推荐文章于 2022-03-26 19:39:32 发布
最新推荐文章于 2022-03-26 19:39:32 发布
阅读量381 收藏
点赞数
分类专栏: Servlet

首先是web.xml

[html] view plain copy print ?
  1. <?xml version="1.0" encoding="UTF-8"?> 
  2. <web-app version="2.5" 
  3.     xmlns="http://java.sun.com/xml/ns/javaee" 
  4.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  5.     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee  
  6.     http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> 
  7.     <servlet> 
  8.         <servlet-name>FormServlet</servlet-name> 
  9.         <servlet-class>com.jadyer.servlet.FormServlet</servlet-class> 
  10.     </servlet> 
  11.     <servlet-mapping> 
  12.         <servlet-name>FormServlet</servlet-name> 
  13.         <url-pattern>/servlet/FormServlet</url-pattern> 
  14.     </servlet-mapping> 
  15.      
  16.     <welcome-file-list> 
  17.         <welcome-file>form.jsp</welcome-file> 
  18.     </welcome-file-list> 
  19. </web-app>  
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
	<servlet>
		<servlet-name>FormServlet</servlet-name>
		<servlet-class>com.jadyer.servlet.FormServlet</servlet-class>
	</servlet>
	<servlet-mapping>
		<servlet-name>FormServlet</servlet-name>
		<url-pattern>/servlet/FormServlet</url-pattern>
	</servlet-mapping>
	
	<welcome-file-list>
		<welcome-file>form.jsp</welcome-file>
	</welcome-file-list>
</web-app>

然后是表单页面form.jsp

[html] view plain copy print ?
  1. <%@ page language="java" pageEncoding="UTF-8"%> 
  2. <%@ page import="com.jadyer.util.DataCoderUtil"%> 
  3. <
  4. //生成表单令牌 
  5. session.setAttribute("myToken", DataCoderUtil.generateToken()); 
  6. //request包含页面:也可以使用这种方式,把页面包含进来 
  7. //request.getRequestDispatcher("/form.jsp").include(request, response); 
  8. %> 
  9.  
  10. <form action="<%=request.getContextPath()%>/servlet/FormServlet" method="POST"> 
  11.     <input type="hidden" name="myToken" value="${myToken}"> 
  12.     用户:<input type="text" name="username"><br/> 
  13.     密码:<input type="password" name="password"><br/> 
  14.     <input type="submit" value="提交"> 
  15. </form>  
<%@ page language="java" pageEncoding="UTF-8"%>
<%@ page import="com.jadyer.util.DataCoderUtil"%>
<%
//生成表单令牌
session.setAttribute("myToken", DataCoderUtil.generateToken());
//request包含页面:也可以使用这种方式,把页面包含进来
//request.getRequestDispatcher("/form.jsp").include(request, response);
%>

<form action="<%=request.getContextPath()%>/servlet/FormServlet" method="POST">
	<input type="hidden" name="myToken" value="${myToken}">
	用户:<input type="text" name="username"><br/>
	密码:<input type="password" name="password"><br/>
	<input type="submit" value="提交">
</form>

下面是用于生成表单令牌的工具类DataCoderUtil.java

[java] view plain copy print ?
  1. package com.jadyer.util; 
  2.  
  3. import java.security.MessageDigest; 
  4. import java.security.NoSuchAlgorithmException; 
  5. import java.util.Random; 
  6.  
  7. import sun.misc.BASE64Encoder; 
  8.  
  9. /**
  10. * DataCoderUtil
  11. * @see ========================================================================================
  12. * @see 这里的generateToken()是处理表单重复提交时,创建的表单令牌生成器,其返回经MD5和base64加密后的String
  13. * @see ========================================================================================
  14. * @see Java中每个数据都有一个摘要,即数据指纹。无论这个数据有多大,它的指纹都是固定的128位,即16个字节
  15. * @see 我们可以使用Java中提供的java.security.MessageDigest工具类,得到随机数的数据摘要,即数据指纹
  16. * @see ========================================================================================
  17. * @see 全新算法:base64编码
  18. * @see 任何数据经base64算法编码后,都会返回明文的字符串。该算法有一个特点:它会把每三个字节,都变成四个字节
  19. * @see 比如00110010.11001101.00101001会被变成00001100.00101100.00110100.00101001
  20. * @see 也就是把原来的24Bit平均分为四份,然后在每一份前面补两个零,以此凑成32Bit,即四个字节
  21. * @see 故,改变之后的四个字节,每个字节的最小值就是00000000,最大值就是00111111,即最小为零,最大为63
  22. * @see 所以,经过base64算法编码后,每个字节的最大值都不会超过64
  23. * @see 最后,base64算法会查询它自己定制的码表,该码表记录的是0--63所对应键盘上的明文字符,最后将其返回
  24. * @see ========================================================================================
  25. * @author 宏宇
  26. * @create Mar 6, 2012 2:38:04 AM
  27. */ 
  28. public class DataCoderUtil { 
  29.     public static String generateToken() { 
  30.         String myToken = System.currentTimeMillis() + new Random().nextInt() + ""
  31.         try
  32.             byte[] myTokenMD5 = MessageDigest.getInstance("md5").digest(myToken.getBytes()); //MD5算法加密 
  33.             return new BASE64Encoder().encode(myTokenMD5); //base64算法加密,最后返回 
  34.         } catch (NoSuchAlgorithmException e) { 
  35.             throw new RuntimeException(e); 
  36.         } 
  37.     }  
package com.jadyer.util;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;

import sun.misc.BASE64Encoder;

/**
 * DataCoderUtil
 * @see ========================================================================================
 * @see 这里的generateToken()是处理表单重复提交时,创建的表单令牌生成器,其返回经MD5和base64加密后的String
 * @see ========================================================================================
 * @see Java中每个数据都有一个摘要,即数据指纹。无论这个数据有多大,它的指纹都是固定的128位,即16个字节
 * @see 我们可以使用Java中提供的java.security.MessageDigest工具类,得到随机数的数据摘要,即数据指纹
 * @see ========================================================================================
 * @see 全新算法:base64编码
 * @see 任何数据经base64算法编码后,都会返回明文的字符串。该算法有一个特点:它会把每三个字节,都变成四个字节
 * @see 比如00110010.11001101.00101001会被变成00001100.00101100.00110100.00101001
 * @see 也就是把原来的24Bit平均分为四份,然后在每一份前面补两个零,以此凑成32Bit,即四个字节
 * @see 故,改变之后的四个字节,每个字节的最小值就是00000000,最大值就是00111111,即最小为零,最大为63
 * @see 所以,经过base64算法编码后,每个字节的最大值都不会超过64
 * @see 最后,base64算法会查询它自己定制的码表,该码表记录的是0--63所对应键盘上的明文字符,最后将其返回
 * @see ========================================================================================
 * @author 宏宇
 * @create Mar 6, 2012 2:38:04 AM
 */
public class DataCoderUtil {
	public static String generateToken() {
		String myToken = System.currentTimeMillis() + new Random().nextInt() + "";
		try {
			byte[] myTokenMD5 = MessageDigest.getInstance("md5").digest(myToken.getBytes()); //MD5算法加密
			return new BASE64Encoder().encode(myTokenMD5); //base64算法加密,最后返回
		} catch (NoSuchAlgorithmException e) {
			throw new RuntimeException(e);
		}
	}
}

最后是用于处理表单请求的FormServlet.java

[java] view plain copy print ?
  1. package com.jadyer.servlet; 
  2.  
  3. import java.io.IOException; 
  4.  
  5. import javax.servlet.ServletException; 
  6. import javax.servlet.http.HttpServlet; 
  7. import javax.servlet.http.HttpServletRequest; 
  8. import javax.servlet.http.HttpServletResponse; 
  9.  
  10. public class FormServlet extends HttpServlet { 
  11.     private static final long serialVersionUID = -3435386674549645942L; 
  12.  
  13.     public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 
  14.         /**
  15.          * 利用referer防盗链
  16.          * @see 客户端访问时,只认可以http://127.0.0.1为首的URL
  17.          */ 
  18.         String referer = request.getHeader("referer"); 
  19.         if(null==referer || !referer.startsWith("http://127.0.0.1")){ 
  20.             response.sendRedirect("/index.jsp"); 
  21.             return; //如果没有这行代码,那么重定向之后,下面的代码仍会执行 
  22.         } 
  23.          
  24.         /**
  25.          * 判断表单重复提交
  26.          * @see 思路:详见我的另一篇文章http://blog.csdn.net/jadyer/article/details/6174095
  27.          */ 
  28.         if(!isTokenValid(request, response)){ 
  29.             System.out.println("请不要重复提交表单..."); 
  30.             return
  31.         } 
  32.         request.getSession().removeAttribute("myToken"); 
  33.         System.out.println("向数据库中注册用户..."); 
  34.     } 
  35.      
  36.     /**
  37.      * 判断表单令牌是否有效
  38.      */ 
  39.     private boolean isTokenValid(HttpServletRequest request, HttpServletResponse response){ 
  40.         String client_token = request.getParameter("myToken"); 
  41.         String server_token = (String)request.getSession().getAttribute("myToken"); 
  42.         if(null == client_token){ 
  43.             return false
  44.         } 
  45.         if(null == server_token){ 
  46.             return false
  47.         } 
  48.         if(!client_token.equals(server_token)){ 
  49.             return false
  50.         } 
  51.         return true
  52.     } 
jiangyibin
关注
专栏目录
Servlet实现用户请求次数的统计
Just The Way You Are
08-01 4168
利用会话机制统计用户访问服务器端的次数,每一次访问的时候,就将统计的数字+1,并保存在会话中。 /************************* @Dream_EarFire ************************/ package com.dream.javaweb; import java.io.IOException; import j
HTTP Servlet Request 获得请求行、请求头、请求体、完成防盗链(页码SR2.1)
qq_40922845的博客
02-26 393
有时无法访问服务器其实是DNS服务器宕机 可以通过访问URL获得解析前的IP直接访问服务器地址 测试代码如下 package cn.aynortechnology.line; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet;...
利用servlet转发技术实现统计form表单中字母次数
红豆和绿豆的博客
09-12 403
需求是利用servlet转发技术,实现对html网页中用户输入的内容进行统计,统计每个字母出现的次数,忽略大小写。其中统计功能在一个servlet中,转发功能在另一个servlet中。 1.新建dynamic web project,命名为CounterCharacter 2.在webContent目录中新建index.html文件,设置form表单 [html]
springmvc、servlet表单重复提交的问题
qq_34091529的博客
03-26 837
一、 表单重复提交的情况介绍: 转发的情况下,表单成功提交后,重复刷新地址栏,出现表单重复提交的问题 表单正常提交后,浏览器回退后,重复点击提交表单 二、解决方案 方案1::使用重定向进入成功页面 方案2:使用token解决: 在服务器端生成一个全球唯一的id(UUID生成),这个id称谓token 把生成token存入session中 把生成token存入表单的隐式文本框中 随着表单提交,生成的token也随之提交 在后台判断session中的token和表单提交的token是否..
使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能
热门推荐
Unitue_逆流
05-13 1万+
请编写一个类,该类使用HttpServletRequest对象的getHeader(“referer”)方法实现下载资源防盗链的功能在实际开发中,经常会使用referer头字段,一些站点为吸引人气经常会为了提高站点的访问量,提供各种软件的下载页面,他们本身没有这些资源,只是将下载的超链接指向其他站点的资源。为防止这种盗链,就需要检查请求来源,只接受本站点链接发送的下载请求,防止其他站点链接的下载请...
servlet相关知识,使用servlet实现定时刷新,实现页面登录次数统计
聪明的阿呆
03-19 1175
1、servlet: 动态的web开发技术,本质就是一个类,运行在服务器端的一个java小程序; 作用:处理业务逻辑,生成动态web内容 2、接受参数:  格式:key=value     Sting value=request.getParameter("key") 回写内容:     response     response.getWriter().print("success"
Servlet&Request详细总结
qq_53124400的博客
11-17 2049
WEB相关概念 软件架构: 1.C/S架构:客户端/服务器端 2.B/S架构:浏览器/服务器端 资源分类: 1.静态资源:所有用户访问后,得到的结果都是一样的,称为静态资源。如html,css,JavaScript。静态可以直接被浏览器解析。 2.动态资源:每个用户访问相同资源后,得到的结果可能不一样。称为动态资源。如servlet/jsp,php。动态资源被访问后,需要先转换为静态资源,再返回给浏览器(响应)。 网络通信三要素: IP:电子设备(计算机)在网络中的唯一标识。 .
黑马就业班(02.JavaWeb+项目实战\06.Servlet和HTTP+07.Request和Response)——Servlet补充、HTTP协议(请求消息)、Request
LKJgdut的博客
02-06 390
今日内容: 1. Servlet 2. HTTP协议 3. Request 1、Servlet补充   我们前面已经对Servlet做了初步介绍,主要讲了下面5点 1. 概念 2. 步骤 3. 执行原理 4. 生命周期 5. Servlet3.0 注解配置   下面我们继续对Servlet进行讲解 Servlet的体系结构 Servlet -- 接口 | GenericServlet -...
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1354
Web安全常见攻击手段 XSS、SQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
防盗链&CSRF&API接口幂等性设计
art_code的博客
01-24 756
防盗链&CSRF&API接口幂等性设计 防盗链技术 CSRF(模拟请求) 分析防止伪造Token请求攻击 互联网API接口幂等性设计 忘记密码漏洞分析 1.Http请求防盗链 什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。 如果别人的项目频繁引用我的图片的话 别人请求放访问的是我的 服务器 也会浪...
谈谈网站防盗链
帅性而为1号的博客
09-06 5379
引子:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”(下图便是网易博客的防盗链效果)。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。 一、什么是防盗链系统
JSP —— 使用referer 请求头防止表单从外部提交,防止从外部登录网站
永远的北极光
04-29 4036
我将访问网站分为普通访问与登录访问,前者是以游客身份,后者是以该网站的用户身份。 对于游客身份,游客能看到的信息必然只能是公共的,不涉及隐私的,所以对于游客所显示的页面的链接可以在任何网站引用。 对于用户身份,用户需要登录网站,出于某些安全因素考虑,我们通常希望用户只能通过网站的登录页面登录网站,而不能通过其他网站登录,这就涉及到本篇日志的主题。 分三部分:第一部分,从外部的登录网站
java 重复请求过滤(并发访问)
u010704600的专栏
09-02 1万+
问题描述 前段时间遇到个问题,自己内部系统调用出现重复请求导致数据混乱。 发生条件:接受到一个请求,该请求没有执行完成又接受到相同请求,导致数据错误(如果是前一个请求执行完成,马上又接受相同请求不会有问题) 问题分析:是由于数据库的脏读导致 问题解决思路 1.加一把大大的锁 (是最简单的实现方式,但是性能堪忧,而且会阻塞请求) 2.实现请求拦截 (可以共用,
利用referer请求头防止“盗链”
桀骜℃
05-01 886
在开发过程中,有人经常会用referer头字段,有些网站为增加人气,提高网站访问量,提供各种各样的下载界面,但是他们本身没有资源,只是讲超链接指向特定站点资源。真正有资源的站点为了防止“盗链”,需要检查请求资源,如果是本站的下载请求,则允许正常下载,如果是其他站点,则跳转到其他特定网页。 import java.io.IOException; import java.io.PrintW
嵌入式-优质嵌入式项目之低功耗STM32F411开发板设计-原理图+PCB源文件+例程+驱动.zip
10-16
嵌入式_优质嵌入式项目之低功耗STM32F411开发板设计_原理图+PCB源文件+例程+驱动
毕业设计论文Hadoop+Django+Hive+Vue气象数据分析可视化大屏系统.docx
10-16
毕业设计论文
山东大学软件学院系统安全名词解释+大题复习总结
最新发布
10-16
lfb老师大三上的网安限选课,自己整理总结名词解释和大题,熟练背诵基本可得高分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值