<span style="font-family: Arial, Helvetica, sans-serif;"><form action="/myservlet/servlet/DoFormServlet" method="post" οnsubmit="return doSubmit()"></span>
用户:<input type="text" name="username"><br/>
密码:<input type="password" name="pwd"><br/>
<input type="submit" value="提交">
</form>
通过javascript先在客户端进行校验
<script type="text/javascript">
var flag = true;
function doSubmit(){
if(flag==true){
flag =false;
return true;
}else{
return false;
}
}
</script>
表单在提交到DoFormServlet后,连续点刷新或者返回前面继续刷新的话,会在后台连续提交表单数据,造成服务器压力。为此在服务端可进行表单验证,以免防止表单重复提交。
<%
String token = TokenProcessor.getInstance().process();
session.setAttribute("token", token);
pageContext.setAttribute("token",token);
%>
<form action="/myservlet/servlet/DoFormServlet" method="post">
用户:<input type="text" name="username"><br/>
密码:<input type="password" name="pwd"><br/>
<input type="submit" value="提交">
<input type="hidden" name="token" value=<%=pageContext.getAttribute("token") %>>
</form>
通过单例TokenProcessor的process产生一个唯一的令牌表示符,用Hidden字段提交到DoFormServlet,通过在DoFormServlet比较session中的令牌来验证是否已经提交。
class TokenProcessor{
private static TokenProcessor tp = new TokenProcessor();
private TokenProcessor(){}
public static TokenProcessor getInstance(){
return tp;
}
public String makeToken(){
try{
String token = (System.currentTimeMillis()+new Random().nextInt(99999999))+"";
MessageDigest md =MessageDigest.getInstance("md5");
byte[] result = md.digest(token.getBytes());
BASE64Encoder encoder = new BASE64Encoder();
return encoder.encode(result);
}catch(Exception e){
throw new RuntimeException(e);
}
}
}
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
Boolean b = isToken(req);
if(b==true){
System.out.println("请不要重复提交");
return;
}
req.getSession().removeAttribute("token");
System.out.println("处理请求");
}
private Boolean isToken(HttpServletRequest req) {
String cli_token = req.getParameter("token");
if(cli_token==null){
return true;
}
String serv_token = (String) req.getSession().getAttribute("token");
if(serv_token==null){
return true;
}
if(!cli_token.equals(serv_token)){
return true;
}
return false;
}
上面是DoForm中的验证代码,通过在isToken设置标志位判断具体的登陆情况,只有当前台传来的隐藏字段中的token与从服务器的session域中获取的token一致时,返回false,才可进行提交。注意:
当在处理请求前,从session中删除标记。这样当第二次想重复提交时,在isToken()中从session中取出token时为空,返回true说明已经提交过了。