JavaWeb学习（1） 使用Session和Token防止表单重复提交

前言

以前在很多p2p网站中，都有新手领取红包的活动。这样的红包链接或多或少都有很多的漏洞，就是表单可以重复提交。这样的话，对那些p2p网站或者其他类似的网站造成很大的损失。Fiddler大家都不陌生吧，就是一个抓包软件。我们先拦截url请求，Shift+R，填入压力测试的次数，然后释放，就会造成很多次的url访问请求，这样的结果很容易造成表单重复提交。那么我们的今天主题就是如何使用Session和Token防止表单重复提交

---

表单重复提交例子

在我们写网站的时候，肯定写过留言板的功能，但是肯定对重复提交留言的恶性行为没有进行一些安全措施。

我们利用Fiddler这一款抓包软件，可以进行压力测试，模拟多次url请求。就会造成以下情况，留言板被恶性刷屏。

---

如何进行防止表单重复提交

其实很简单的，我们只需要生成一个唯一的token,分别放进客户端的表单里和服务器的session中进行了。当我们发起请求时，只需要判断session中的token（以下简称serverToken）和客户端表单里的token(以下简称clientToken)是否相等。 如果severToken==null,clientToken==null 还有
serverToken不等于clientToken，那么就说明表单被重复提交了。反之，如果serverToken==clientToken，就说明表单没有被重复提交，当我们进行了一系列需要的操作后，就可以清除session中的token了。

---

具体代码

• 生成唯一的Token

     public static String makeToken(){
        String token=(System.currentTimeMillis()+new Random().nextInt(999999999))+"";
        try {
            MessageDigest mDigest=MessageDigest.getInstance("md5");
            byte[] md5=mDigest.digest(token.getBytes());
            BASE64Encoder encoder=new BASE64Encoder();
            return encoder.encode(md5);
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException(e);
        }}

• Jsp代码

<%
 String token=CommonUtils.makeToken();
 request.getSession().setAttribute(token,token);
 %>
<form enctype="multipart/form-data" action="${pageContext.request.contextPath}/PhotoServlet?method=uploadPhoto&token=<%=token%>"  method="post">
 上传图片:<input type="file" name="file"/><br>
 描       述:<input type="text" name="desc"/><br>
<input type="submit" value="提交"/><br>
</form>

• Serlvet代码

public String uploadPhoto(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        String result=null;
        String clientToken=request.getParameter("token");
        String serverToken=(String)request.getSession().getAttribute(clientToken);
        if(!isRepeatCommit(serverToken, clientToken)){
            result="请不要重复提交";
            request.getSession().setAttribute("result",result);
            return "/result.jsp";
        }
       request.getSession().removeAttribute(clientToken);
}
/**
     * 
     * @param serverToken
     * @param clientToken
     * @return
     * 如果没有重复提交 返回true， 如果重复提交 返回fasle
     */
    public boolean isRepeatCommit(String serverToken,String clientToken){
        MyLog.i(TAG, "serverToken="+serverToken+",clientToken="+clientToken);
        if(serverToken==null){
            return false;
        }

        if(clientToken==null){
            return false;
        }

        if(!clientToken.equals(serverToken)){
            return false;
        }

        return true;
    }

---

效果图

我自己写了一个图片上传的demo,就来测试一下是否能防止重复提交吧

首先手动测试一下，是否能防止重复提交

我们上传成功后，再次刷新地址栏，会发现已经防止了表单重复提交

手动测试完毕了，心里肯定是美滋滋了。那么我们用Fiddler来测试一下吧，我们来模拟一下压力测试。

我们从Fiddler看到返回结果，心里更是美滋滋了。已经成功防止了表单重复提交不安全的行为了。

发现的问题

写这边简文的时候，我也看到其他大牛写的博客。在底下的评论也发现了一个存在的问题。就是打开2个上传图片的网页，在第一个网页上传到了照片，提示”上传成功”。然后在打开第二个网页再上传图片，就会提示”请不要重复提交”。这是什么问题造成的呢？其实仔细想一下就会发现， 当第一个网站上传图片成功后，就会清除Session中的token值，此时的serverToken=null了。就会造成第二个网站上传图片时候，serverToken=null和serverToken!=clientToken，那么肯定会提示”请不要重复提交”。

---

解决方案

看到这里，你们估计还有疑问？那么就想一下为什么我要生成唯一的Token。我们这个Token是每一次用户请求的标识。我们只需要serverToken在Session中的属性值设置为唯一的Token即可。就不会发生刚才的情况。

 String token=CommonUtils.makeToken();
 request.getSession().setAttribute(token,token);
 %>

---