由防止表单重复提交引发的一系列问题--servletRequest的复制、body值的获取

最新推荐文章于 2023-06-29 15:20:24 发布
置顶 最新推荐文章于 2023-06-29 15:20:24 发布
阅读量703 收藏
点赞数
分类专栏: servlet 文章标签: 防止表单重复提交 request重复读取
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tb_problem/article/details/86060843
版权

@Time:2019年1月4日 16:19:19

@Author:QGuo

 

背景:最开始打算写个防止表单重复提交的拦截器;网上见到一种不错的方式,比较合适前后端分离,校验在后台实现;

我在此基础上,将key,value。Objects.hashCode()了下

因为request的body 可能太大,过长;

但不保证存在不同的object生成的哈希值却相同,但是我们目的只是为了防止重复提交而已,不同对象生成哈希值相同的机率很小。

==========================代码==============================

1、HttpServletRequestReplacedFilter 过滤器.

目的:post请求时,复制request;注意代码中的注释部分;

package com.kdgz.service;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @author QGuo
 * @date 2019/1/3 15:04
 */
public class HttpServletRequestReplacedFilter implements Filter {
    @Override
    public void destroy() {}

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        ServletRequest requestWrapper = null;
        if (request instanceof HttpServletRequest) {
            HttpServletRequest httpServletRequest = (HttpServletRequest) request;
            String contentType = request.getContentType();

            if (contentType != null && contentType.contains("application/x-www-form-urlencoded")) {
                //如果是application/x-www-form-urlencoded, 参数值在request body中以 a=1&b=2&c=3...形式存在,
                //若直接构造BodyReaderHttpServletRequestWrapper,在将流读取并存到copy字节数组里之后,
                //httpRequest.getParameterMap()将返回空值!
                //若运行一下 httpRequest.getParameterMap(), body中的流将为空! 所以两者是互斥的!
                request.getParameterMap();
            }
            if ("POST".equals(httpServletRequest.getMethod().toUpperCase())) {
                requestWrapper = new BodyHttpServletRequestWrapper((HttpServletRequest) request);
            }
        }

        if (requestWrapper == null) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter((HttpServletRequest)requestWrapper, response);
        }
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {}
}

2. HttpServletRequestWrapper --复制ServletRequest

目的在于:使servletRequest可以重复获取inputStream、reader;

package com.kdgz.service;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.Enumeration;
import java.util.Map;

/**
 * @author QGuo
 * @date 2019/1/3 15:05
 */
public class BodyHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private byte[] body;

    public byte[] getBody() { return body; }

    public void setBody(byte[] body) { this.body = body; }

    public BodyHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        body = this.getBodyString(request).getBytes(Charset.forName("UTF-8"));
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream(),"UTF-8"));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {

        final ByteArrayInputStream bais = new ByteArrayInputStream(this.body);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {  return false; }

            @Override
            public boolean isReady() { return false; }

            @Override
            public void setReadListener(ReadListener readListener) {}

            @Override
            public int read() throws IOException { return bais.read(); }
        };
    }

    @Override
    public String getHeader(String name) { return super.getHeader(name); }

    @Override
    public Enumeration<String> getHeaderNames() { return super.getHeaderNames(); }

    @Override
    public Enumeration<String> getHeaders(String name) { return super.getHeaders(name); }

    @Override
    public Map<String, String[]> getParameterMap() { return super.getParameterMap(); }
    
    public String getBodyString(ServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = request.getInputStream();
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return sb.toString();
    }
}

3、web.xml 中添加过滤器

  <filter>
    <filter-name>httpServletRequestFilter</filter-name>
    <filter-class>com.kdgz.service.HttpServletRequestReplacedFilter</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>httpServletRequestFilter</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>

4、添加自定义注解

package com.kdgz.annotation;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * @author QGuo
 * @date 2018/12/24 13:58
 * 一个用户 相同url 同时提交 相同数据 验证
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SameUrlData {
}

5、添加拦截器

package com.kdgz.service;

import com.alibaba.fastjson.JSON;
import com.kdgz.annotation.SameUrlData;
import org.apache.commons.lang3.StringUtils;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.lang.reflect.Method;
import java.util.HashMap;
import java.util.Map;
import java.util.Objects;
import java.util.concurrent.TimeUnit;

/**
 * 一个用户 相同url 同时提交 相同数据 验证
 * 主要通过 session中保存到的url 和 请求参数。如果和上次相同,则是重复提交表单
 *
 * @author QGuo
 * @date 2018/12/24 14:02
 */
public class SameUrlDataInterceptor extends HandlerInterceptorAdapter {
    @Resource
    StringRedisTemplate stringRedisTemplate;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            SameUrlData annotation = method.getAnnotation(SameUrlData.class);
            if (annotation != null) {
                if (repeatDataValidator(request)) {//如果重复相同数据
                    //在此可添加response响应内容,提醒用户重复提交了
                    return false;
                } else
                    return true;
            }
            return true;
        } else {
            return super.preHandle(request, response, handler);
        }
    }

    /**
     * 验证同一个url数据是否相同提交  ,相同返回true
     *
     * @param httpServletRequest
     * @return
     */
    public boolean repeatDataValidator(HttpServletRequest httpServletRequest) throws IOException {
        Map<String, String[]> parameterMap = new HashMap(httpServletRequest.getParameterMap());
        //删除参数中的v;(v参数为随机生成的字符串,目的是为了每次访问都是最新值,既然要防止重复提交,需要剔除此参数)
        if (parameterMap.containsKey("v"))
            parameterMap.remove("v");
        //每一位登录者都有唯一一个token认证
        String tokens = "";
        if (parameterMap.get("token").length > 0)
            tokens = parameterMap.get("token")[0];
        String method = httpServletRequest.getMethod().toUpperCase();//请求类型,GET、POST
        String params;
        if (StringUtils.equals(method, "POST")) {//post请求时
            BodyHttpServletRequestWrapper requestWrapper = new BodyHttpServletRequestWrapper((HttpServletRequest) httpServletRequest);
            byte[] bytes = requestWrapper.getBody();
            if (bytes.length != 0) {
                params = JSON.toJSONString(new String(bytes, "UTF-8").trim());
            } else {//若body被清空,则说明参数全部被填充到Parameter集合中了
                /**
                 * 当满足一下条件时,就会被填充到parameter集合中
                 * 1:是一个http/https请求
                 * 2:请求方法是post
                 * 3:请求类型(content-Type)是application/x-www-form-urlencoded
                 * 4: Servlet调用了getParameter系列方法
                 */
                Map<String, String[]> map = new HashMap(requestWrapper.getParameterMap());
                // 去除 v 参数
                if (map.containsKey("v"))
                    map.remove("v");
                params = JSON.toJSONString(map);
            }
        } else {
            params = JSON.toJSONString(parameterMap);
        }

        String url = String.valueOf(Objects.hashCode(httpServletRequest.getRequestURI() + tokens));
        Map<String, String> map = new HashMap<String, String>();
        map.put(url, params);
        //防止参数过多,string过大;现将储存为 hash编码;
        String nowUrlParams = String.valueOf(Objects.hashCode(map));
        String preUrlParams = stringRedisTemplate.opsForValue().get(url);
        if (preUrlParams == null) {//如果上一个数据为null,表示还没有访问页面
            //设置过期时间为3分钟
            stringRedisTemplate.opsForValue().set(url, nowUrlParams, 3, TimeUnit.MINUTES);
            return false;
        } else if (preUrlParams.equals(nowUrlParams)) {//否则,已经访问过页面
            //如果上次url+数据和本次url+数据相同,则表示重复添加数据
            return true;
        } else {//如果上次 url+数据 和本次url加数据不同,则不是重复提交,更新
            stringRedisTemplate.opsForValue().set(url, nowUrlParams, 3, TimeUnit.MINUTES);
            return false;
        }
    }
}

使用的时候,只要在接口上,添加注解即可

例如:

@RequestMapping(value = "v1.0/monGraphSave")
@SameUrlData
public AjaxMessage monGraphSave(@RequestBody MonGraphFB monGraphFB){}

====================代码结束===================

 

整理至此,主要有以下注意点;

①、得考虑post请求参数获取的特殊性

②、request.getInputStream() 只能获取一次,要想可以多次读取,得继承HttpServletRequestWrapper,读出来--放回去

③、过滤器的目的是可以直接读取request里面的body

④、request参数body可能很大,可以取hash值。

⑤、key、value的存储,需要设置过期时间;

 

心得:

其实我觉得防止表单重复提交这个功能,作用不是特别大;因为只要随便加一个参数,就可以把需要的参数重复添加进系统中;

只能做到,防止用户误操作,点击了多次这种情况;(一般前端也会做处理的,但万一前端抽风自动发起了多次请求呢);

只能说一定程度上 更加完善吧

 

改进:

可以在SameUrlDataInterceptor拦截器中,添加response响应内容,让用户知道自己重复提交了。

很简单不举例;

不想找对象
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaee-ServletRequest 类相关源代码解析
04-04
NULL 博文链接:https://sunfish.iteye.com/blog/1485374
java HttpServletRequest拷贝解决HttpServletRequest 中流只能读取一次的问题
西凉的悲伤博客
05-20 3599
目录一、遇到的问题:二、原因:三、解决办法:四、测试: 一、遇到的问题: 接口上传了一个文件,从HttpServletRequest获取了文件名、文件内容等信息,后面再从HttpServletRequest读取文件名信息、文件内容就读取不到了 二、原因: 因为流是单向的,就像水一样被舀了一瓢就会少一瓢。所以 HttpServletRequest 对象中的 InputStream 或者 Reader 只能使用一次。 三、解决办法: 那该怎么办,复制一份HttpServletRequest 对象,把流转
Java 复制HttpServletRequest InputStream的方法 只需2步轻松搞定
一只猿的自我修养
03-26 8862
你可能很疑惑,为什么request对象中的InputStream或者Reader只能使用一次? 原理很简单,可以把流比喻成水,request里面的inputStream就好比杯子中的水。试问杯子中的水倒掉之后还能继续倒吗?当然不能滴!InputStream里面有做指针和同步处理,一旦指针到了末尾是不会回来的。那么我们怎么拷贝request body里面的数据呢,当然我们得找一种可以复制的存储方式...
8.8、HttpServletRequest
qq_44840451的博客
05-15 377
HttpServletRequest代表客户端的请求,用户通过http协议访问服务器,HTTP请求中的所有信息会被封装到HttpServletRequest对象中,通过HttpServletRequest的方法,可以获取客户端的所有信息 公共接口类HttpServletRequest继承自ServletRequest。客户端浏览器发出的请求被封装成为一个HttpServletRequest对象。对象包含了客户端请求信息包括请求的地址,请求的参数,提交的数据,上传的文件客户端的ip甚至客户端操作系统都包..
SpringBoot笔记:统一请求参数修改(HttpServletRequest复制),加解密参数也可参考处理
u011047968的专栏
01-31 3269
需要进行统一的解密请求 header 头里面的关键字 encryKey ,将解密出来的赋给 provinceId 并传递给后端的每一个请求接口,并通过 provinceId 字段进行`数据分权`。
java 复制request流_java HttpServletRequest 重复读取
weixin_30823291的博客
02-26 1305
在用reset接口的时候,常常会使用request.getInputStream()方法,但是流只能读取一次,一旦想要加上一个过滤器用来检测用户请求的数据时就会出现异常。在过滤器中通过流读取出用户post提交过来的数据,这是流已经读取了一次,那么该流就已经作废了,所以在contorller再次读取用户请求的数据时就会抛出异常。解决方法方法一:参见:http://www.cnblogs.com/ji...
Java service层获取HttpServletRequest工具类的方法
08-26
今天小编就为大家分享一篇关于Java service层获取HttpServletRequest工具类的方法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价,需要的朋友一起跟随小编来看看吧
jsp防止跨域提交数据的具体实现
01-08
import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig;... import javax.servlet.ServletRequest; impor
JavaWeb核心之Servlet-源代码
08-19
案例一、完成用户登录功能 案例二、记录成功登录系统的人次。 实现步骤: 1)创建类实现Servlet接口 2)覆盖尚未实现的方法---service方法 3)在web.xml进行servlet的配置 但在实际开发中,我们不会直接去实现...
filter-源代码.rar
最新发布
08-20
doFilter(ServletRequest,ServletResponse,FilterCha):代表filter执行过滤的核心方法,如果某资源在已经被配置到这个filter进行过滤的话,那么每次访问这个资源都会执行doFilter方法 destory():代表是filter销毁...
如何HttpServletRequest文件对象并储存
10-14
主要介绍了如何HttpServletRequest文件对象并储存,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价,需要的朋友可以参考下
java request 克隆_Java 复制HttpServletRequest InputStream的方法 只需2步轻松搞定
weixin_35529551的博客
02-13 2423
你可能很疑惑,为什么request对象中的InputStream或者Reader只能使用一次?原理很简单,可以把流比喻成水,request里面的inputStream就好比杯子中的水。试问杯子中的水倒掉之后还能继续倒吗?当然不能滴!InputStream里面有做指针和同步处理,一旦指针到了末尾是不会回来的。那么我们怎么拷贝request body里面的数据呢,当然我们得找一种可以复制的存储方式了,...
springboot统一请求参数修改(可复制HttpServletRequest流)
zhaocuit的博客
05-28 4768
springboot统一请求参数修改 http请求对象HttpServletRequest中的数据要么通过流(json请求时)或者参数的形式(form表单)向后台传输数据,如果是通过流的方式向后端传输数据,那么在后端读取数据都是一次性的,如果在拦截器或者AOP中读取过,则不能映射到controller的参数。但可以通过在过滤器中定义可复制request进行读取,而不影响controller参数的映射。本文主要介绍如何通过过滤器实现可复制流来解决实际业务中遇到的相关问题。 假设这种场景:我需要将请求参数中的
java 复制request文件流不可重复读取
zjm123456780的博客
06-29 336
简单说一下原理,其实就是通过自定义的HttpServletRequestWrapper 备份一下流的数据,自定义HttpServletRequestWrapper 调用父类request.getInputStream()读取全部数据出来保存在一个byte数组内,当再次获取流数据的时候,自定义的HttpServletRequestWrapper 就会用byte数组重新生成一个新的流。参见:http://www.cnblogs.com/jiangxinnju/p/5709378.html。
Response之文件复制案例(从servlet写回给客户端:本地流+网络流)
小白学编程
06-17 5518
@WebServlet(urlPatterns = "/copyFile") public class CopyFile extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOExcept...
【 HTTP 请求 (Request) 】
qq_64317046的博客
03-25 1748
有的资料上说 “GET 传输的数据量小, POST 传输数据量大”. 这个也是不科学的, 标准没有规定 GET 的 URL 的长度, 也没有规定 POST 的 body 的长度. 传输数据量多少,完全取决于不同浏览器和不同服务器之间的实现区别..其中我们重点关注第三个. 里面包含了一个 gitee-session-n 这样的属性, 属性是一串很长的加密之后的信息. 这个信息就是用户当前登陆的身份标识. 也称为 “
Servlet | HttpServletRequest接口、通过request接口获取请求参数
m0_61933976的博客
11-14 8012
Servlet | HttpServletRequest接口、通过request接口获取请求参数
千万不要把Request传递到异步线程里面,有坑
JavaMonsterr的博客
07-28 602
还是一样的道理呀,由于request是复用的,虽然你传入了参数b,但是由于前一个请求在异步线程里面调用了getParameter方法,将didQueryParameters设置为了true,导致程序不会去解析我传入的a=1&b=2。然后,其实和BUG排查比起来,关于request的异步编程相关的知识更加重要,本文只是做了一个小小的引子,如果这块知识对你是空白的,希望你有兴趣的话自己去研究一下,很有价。在源码里面也走了一些弯路,最后才抽丝剥茧的看到本问题的根因。...
ServletRequest获取请求
07-28
ServletRequest获取请求的方法有多种,其中一种是将ServletRequest对象强转成HttpServletRequest对象,然后使用HttpServletRequest提供的方法来获取请求信息。例如,可以使用HttpServletRequest的getHeader()方法来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值