session防止重复提交

最新推荐文章于 2018-12-13 16:43:06 发布
最新推荐文章于 2018-12-13 16:43:06 发布
阅读量477 收藏
点赞数
分类专栏: java interceptor 文章标签: session servlet 优化

http://blog.chinaunix.net/uid-26284395-id-3044216.html
针对这个博文进行了优化,将servlet改写为拦截器,其它action需要防止重复提交时只需在TokenInterceptor中的if下添加一个actionString;在页面中添加EL表达式就ok了
struts2 token不仅可以防止重复提交还可以防御CSRF,不过是在不存在XSS漏洞的情况下;使用struts2 token防止CSRF攻击(http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/),要保证token不会泄露,一般的做法是在内存中保存一个唯一的token,有提交操作的表单页面是使用CGI,PHP,JSP等生成的,保证只有你的页面才能通过内存取到这个token,这样跨站的网页是无法伪造的。
最安全的防止CSRF就是图片验证码了


1)TokenInterceptor.java 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.struts2.ServletActionContext;
import com.cmcc.db.session.TokenProcessor;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.ActionProxy;

public class TokenInterceptor extends org.apache.struts2.interceptor.TokenInterceptor {

 private static final long serialVersionUID = 1L;

    @Override
    protected String doIntercept(ActionInvocation invocation) throws Exception {
        int count = 0;
        HttpServletRequest req = (HttpServletRequest) invocation
                .getInvocationContext().get(ServletActionContext.HTTP_REQUEST);
        HttpServletResponse resp = (HttpServletResponse) invocation
                .getInvocationContext().get(ServletActionContext.HTTP_RESPONSE);
        resp.setContentType("text/html;charset=GBK");
        ActionProxy proxy = invocation.getProxy();
        String actionString = proxy.getNamespace() + "/"
                + proxy.getActionName() + "!" + proxy.getMethod() + ".action";
        if (actionString.startsWith("/user/user!add.action")) {
            TokenProcessor processor = TokenProcessor.getInstance();
            if (processor.isTokenValid(req)) {
                try {
                    Thread.sleep(5000);
                } catch (InterruptedException e) {
                    System.out.println(e);
                }
                System.out.println("submit : " + count);
                if (count % 2 == 1)
                    count = 0;
                else
                    count++;
                System.out.println("success");
                return invocation.invoke();
            } else {
                processor.saveToken(req);
                System.out.println("你已经提交了表单,同一表单不能提交两次。");
                return null;
            }

        } else {
            return invocation.invoke();
        }
    }
}

2)TokenProcessor.java
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
public class TokenProcessor {

static final String TOKEN_KEY = "org.sunxin.token";

private static TokenProcessor instance = new TokenProcessor();

public static TokenProcessor getInstance()

{

    return instance;

}

/**
 * 
 * 最近一次生成令牌值的时间戳。
 */

private long previous;

/**
 * 
 * 判断请求参数中的令牌值是否有效。
 */
public synchronized boolean isTokenValid(HttpServletRequest request) {
    // 得到请求的当前Session对象。
    HttpSession session = request.getSession(false);
    if (session == null) {
        return false;
    }
    // 从Session中取出保存的令牌值。
    String saved = (String) session.getAttribute(TOKEN_KEY);
    if (saved == null) {
        return false;
    }
    // 清除Session中的令牌值。
    resetToken(request);

    // 得到请求参数中的令牌值。

    String token = request.getParameter(TOKEN_KEY);
    if (token == null) {
        return false;
    }
    return saved.equals(token);
}
/**
 * 清除Session中的令牌值。
 */
public synchronized void resetToken(HttpServletRequest request)
{
    HttpSession session = request.getSession(false);
    if (session == null) {
        return;
    }
    session.removeAttribute(TOKEN_KEY);
}

/**
 * 产生一个新的令牌值,保存到Session中, 如果当前Session不存在,则创建一个新的Session。
 */
public synchronized void saveToken(HttpServletRequest request) {

    HttpSession session = request.getSession();
    String token = generateToken(request);
    if (token != null) {
        session.setAttribute(TOKEN_KEY, token);
    }
}

/**
 * 根据用户会话ID和当前的系统时间生成一个唯一的令牌。
 */
public synchronized String generateToken(HttpServletRequest request) {

    HttpSession session = request.getSession();
    try {
        byte id[] = session.getId().getBytes();
        long current = System.currentTimeMillis();
        if (current == previous) {
            current++;
        }
        previous = current;
        byte now[] = new Long(current).toString().getBytes();
        MessageDigest md = MessageDigest.getInstance("MD5");
        md.update(id);
        md.update(now);
        return toHex(md.digest());
    } catch (NoSuchAlgorithmException e) {
        return null;
    }
}

/**
 * 将一个字节数组转换为一个十六进制数字的字符串。
 */
private String toHex(byte buffer[]) {
    StringBuffer sb = new StringBuffer(buffer.length * 2);
    for (int i = 0; i < buffer.length; i++) {
        sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
        sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
    }
    return sb.toString();
}

/**
 * 从Session中得到令牌值,如果Session中没有保存令牌值,则生成一个新的令牌值。
 */
public synchronized String getToken(HttpServletRequest request) {
    HttpSession session = request.getSession(false);
    if (null == session)
        return null;
    String token = (String) session.getAttribute(TOKEN_KEY);
    if (null == token) {
        token = generateToken(request);
        if (token != null) {
            session.setAttribute(TOKEN_KEY, token);
            return token;
        } else
            return null;
    } else
        return token;
}

}
3)其它代码
①需要防止重复提交的页面

<%@ page import="com.cmcc.db.session.TokenProcessor" language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
**<%
   //获取令牌类实例
    TokenProcessor processor = TokenProcessor.getInstance();    //获取令牌值
    String token = processor.getToken(request);
%>**

<head>
<title>添加用户信息界面</title>
</head>
<body>
<form method="post" action="user!add.action" name="form">

</form>
<form action="user!add.action" method="post">
         <%--使用隐藏域存储生成的token--%>
         <%--
             <input type="hidden" name="token" value="<%=session.getAttribute("token") %>">
         --%>
         <%--使用EL表达式取出存储在session中的token--%>

        <table>
            <tr>
                <td>用户名:<input type="text" name="userName" id="userName"></td>
            </tr>
            <tr>
                <td>年龄:<input type="text" name="userAge" id="userAge"></td>
            </tr>
            <tr>
                <td>地址:<input type="text" name="userAddress" id="userAddress"></td>
            </tr>

        <tr>
        <td>**<input type="hidden" name="org.sunxin.token" value="<%=token%>"/>**
        <!-- 作为hidden提交,request的token -->
        <input type="submit" value="提交" style="background-color: pink">
        <input type="reset" value="重置" style="background-color: red"></td>
            </tr>
        </table>
    </form>
</body>
</html>

②struts.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache.org/dtds/struts-2.3.dtd">
<struts>
    <constant name="struts.convention.default.parent.package"
        value="cmcc-default" />
    <constant name="struts.convention.package.locators" value="web" />
    <constant name="struts.convention.package.locators.basePackage"
        value="com.cmcc.db.web" />
    <constant name="struts.convention.result.path" value="/WEB-INF/jsp/"/>
    <constant name="struts.i18n.encoding" value="utf-8" />
    <constant name="struts.enable.DynamicMethodInvocation" value="true" />
    <package name="cmcc-default" extends="convention-default">
        <interceptors>
            <interceptor name="loginInter" class="com.cmcc.db.base.LoginInterceptor" />
            <interceptor name="token" class="com.cmcc.db.base.TokenInterceptor" /> 
            <interceptor-stack name="webStack">
                <interceptor-ref name="store">
                    <param name="operationMode">AUTOMATIC</param>
                </interceptor-ref>
                <interceptor-ref name="paramsPrepareParamsStack" />
                <!-- <interceptor-ref name="loginInter" /> -->
                 <interceptor-ref name="token"/> 
                <interceptor-ref name="defaultStack"></interceptor-ref>
            </interceptor-stack>
        </interceptors>

        <default-interceptor-ref name="webStack" />

        <global-exception-mappings>
            <exception-mapping exception="java.lang.Exception"
                result="error" />
        </global-exception-mappings>
    </package>

    <!-- 使用Convention插件,实现约定大于配置的零配置文件风格. 特殊的Result路径在Action类中使用@Result设定. -->
</struts>
jqq_apple
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈利用Session防止表单重复提交
08-28
主要介绍了浅谈利用Session防止表单重复提交,简单介绍表单重复提交的情况,分析,以及解决方法代码示例,具有一定借鉴价值,需要的朋友可以了解下。
session判断重复提交
weixin_30386713的博客
02-28 103
import javax.servlet.http.HttpServletRequest; /** * @author: jiang * @Date: 2019/2/19 09:37 * @Description: */ public class TokenUtil { /** * 判断客户端提交上来的令牌和服务器端生成的令牌是否一致...
利用Session防止表单重复提交
sun_gufeng的专栏
12-13 117
1 由于服务器缓慢或者网络延迟的原因,重复点击提交按钮  2 已经提交成功,但是还不停刷新成功页面  3 已经提交成功,通过回退,再次点击提交按钮。 这些情况都可能使数据库中产生过多相同的冗余数据,浪费数据库资源。只有转发才会出现,重定向则不会。  针对第一种情况的解决方案(使用JavaScript),对后面两种无效:  首先在页面中添加如下格式的JavaScript代码  &lt;s...
利用session解决重复提交的问题
新火燎塬的博客
06-15 755
RegisterServletUI.java public class RegisterServletUI extends HttpServlet { // protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException
session 防止表单重复提交
chenjin_chenjin的博客
03-22 406
   防止表单重复提交,是每个开发人员不可回避的问题。解决方式也有多种,这里记录一下的三种方式。表单重复提交的三种情况:(1)、网速较慢,或者延迟高,导致用户多次点击提交按钮。(2)、回退页面后再次提交。(3)、点击提交后,再次刷洗页面。(4)、打开多个tab,然后依次提交。一 解决方式。 对于情况1,可以提交后将button设置为不可用。或者添加flag,第一次提交将flag设置为true,再次...
JavaEE Struts2利用tokenSession防止重复提交
10-07
总结,Struts2的tokenSession机制是JavaEE Web开发中防止重复提交的有效手段,通过生成并校验token,确保每个请求的唯一性,从而保护了业务数据的完整性。在实际项目中,我们需要正确配置和使用这个机制,以提高应用...
PHP+Session防止表单重复提交的解决方法
10-18
除了上述方法,还可以使用另一种基于Token的策略来防止重复提交。在表单中添加一个隐藏的Token字段,其值存储在Session中。当表单提交时,服务器会检查提交的Token是否与Session中的值匹配。如果不匹配,则拒绝此次...
asp.net页面防止重复提交示例分享
10-26
因此,实现一个防止重复提交的机制就显得尤为重要。 从给定的文件信息中,我们可以提取以下几个知识点: 1. **JavaScript防止重复提交的实现方法**: 通过在客户端使用JavaScript来控制重复提交的问题是一种简单...
js防止表单重复提交实现代码
10-27
尽管客户端的预防措施能提供一定程度的保护,但最可靠的防止重复提交的方式还是在服务器端进行验证。服务器可以检查请求是否是重复的,例如通过检查数据库中是否存在相同的记录,或者使用事务管理来确保一次性的...
session防止表单重复提交
sunshine的博客
09-19 696
转载:http://www.cnblogs.com/xdp-gacl/p/3859416.html import java.io.IOException; import java.io.PrintWriter; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; im
基于session防止表单重复提交
小母牛倒立的博客
07-09 469
原理:生成token令牌保存在session中,在后台比较前端传来的token于session中token(其实这是Apache给出的的一种应对方法)其中有些内容参考至孤傲苍狼大佬的文章:https://www.cnblogs.com/xdp-gacl/p/3859416.html3种重复提交的情况:存储Session中的token与表单提交的token不同。当前用户的Session中不存在tok...
session实现防止用户重复提交表单
C.
09-10 1023
session实现防止用户重复提交表单
项目安全问题,如何防止会话重放攻击和数据篡改
qq_42204033的博客
12-13 6615
项目到后期都会遇到安全测试问题,本篇整理一下博主的项目怎么解决会话重放和数据篡改问题的。 一般我们的项目中涉及增删改查操作时,前台发起请求后,攻击者利用抓包工具恶意修改客户端的请求参数,就会使服务器执行攻击者想要执行的操作。 对于增删改操作,攻击者抓包后可以无限次发起同样的请求,这样就会使服务器产生很多无用数据甚至崩溃,这就是所谓的会话重放。而对于查询操作一般不会有这个问题,因为查询并没有改变...
JavaWeb学习总结(十三)——使用Session防止表单重复提交
weixin_33939380的博客
07-23 686
  在平时开发中,如果网速比较慢的情况下,用户提交表单后,发现服务器半天都没有响应,那么用户可能会以为是自己没有提交表单,就会再点击提交按钮重复提交表单,我们在开发中必须防止表单重复提交。 一、表单重复提交的常见应用场景 有如下的form.jsp页面 1 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF...
session案例:防止表单重复提交、一次性校验码
java小兵
05-29 3339
session案例1:防止表单重复提交 原理: 1,表单页面由servlet程序生成,servlet为每次产生的表单页面分配一个唯一的随机标识号,并在FORM表单的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号。 2,当用户提交FORM表单时,负责处理表单提交的serlvet得到表单提交的标识号,并与session中存储的标识号比较,如果相同则处理表单提交,处
Java笔记--Session:避免表单的重复提交
宋先森的博客
01-27 1641
关于表单的重复提交
使用session在服务端防止表单重复提交
一包大豫竹的博客
01-26 1973
相较于在客户端使用js等方式防止用户重复点击或者通过别的方式重复提交表单,在服务端使用session防止表单重复提交更能解决问题。当然前后端结合使用会给用户更好的体验思路:1、获取一个独一无二的token(防止重复提交的key),我们这里使用一个自己封装好的方(TokenProccessor),把获取到的token加到session中。2、新建form.jsp页面。使用servlet将token转发
springboot防止重复提交
最新发布
08-18
2. 设置表单提交防止重复提交标识:在用户提交表单时,后端可以生成一个唯一的标识,并将其存储在Session中或者在返回的HTML页面中。然后,在每次表单提交时,后端验证这个标识的有效性。如果标识已经被使用过,则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值