表单重复提交Double Submits

最新推荐文章于 2024-05-03 13:15:00 发布
最新推荐文章于 2024-05-03 13:15:00 发布
阅读量246 收藏
点赞数
分类专栏: 设计相关 文章标签: 测试 java runtime
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wayne_ren/article/details/84723989
版权
可能发生的场景:
[list][*]多次点击提交按钮
[*]刷新页面
[*]点击浏览器回退按钮
[*]直接访问收藏夹中的地址
[*]重复发送HTTP请求(Ajax)
[*]CSRF攻击[/list]

(1)点击按钮后disable该按钮一会儿,这样能避免急躁的用户频繁点击按钮。
比如使用jQuery的话: 
$("form").submit(function() {
  var self = this;
  $(":submit", self).prop("disabled", true);
  setTimeout(function() {
    $(":submit", self).prop("disabled", false);
  }, 10000);
});

这种方法有些粗暴,友好一点的可以把按钮文字变一下做个提示,比如Bootstrap的做法[url=http://getbootstrap.com/javascript/#buttons]http://getbootstrap.com/javascript/#buttons[/url]
[b]这种方式只能防止“多次点击提交按钮”,对于其他的场景不适用![/b]

(2)不disable按钮,通过全局变量来控制多次点击(只有页面重新加载后可以再次点击)。 
var isProcessing = false;
function doSignup() {
  if(isProcessing) {
    alert('The request is being submitted, please wait a moment...');
    return;
  }
  isProcessing = true;

  // do something......
}

需要注意的是如果是AJAX请求的话一定要在请求回来后重置这个值: 
  $.ajax({
    url : "",
    complete :function() {
      isProcessing = false;
    },
    success :function(data) {
      //...
    }
  });

Ajax默认是异步请求,可以设置async为false后同步请求,或者采用jQuery的$.ajaxPrefilter()维护一个请求队列。
[b]这种方式也只能防止“多次点击提交按钮”,对于其他的场景不适用![/b]

(3)Post-Redirect-Get (PRG)
提交后发送一个redirect 请求,这样能避免用户按F5刷新页面,或浏览器的回退按钮
参考:[url=http://en.wikipedia.org/wiki/Post/Redirect/Get]http://en.wikipedia.org/wiki/Post/Redirect/Get[/url]
[b]这种方式只能防止“刷新页面”,对于其他的场景不适用![/b]

(4)Synchronizer Token Pattern
为每次请求生成一个唯一的Token,把它放入session和form的hidden。
处理前先校验token是否一致,不一致屏蔽请求,一致时立即清除后继续处理。
这种方法也适用于跨站请求伪造Cross-Site Request Forgery (CSRF)。
大部分Web框架都提供这方面的支持,比如:
[list][*]Struts 1.x在Action类中可以通过saveToken(request)和isTokenValid(request)方法来实现。
[*]Struts 2.x提供了org.apache.struts2.interceptor.TokenInterceptor来实现Token校验。[/list]
[b]这种方式适用以上所有的场景![/b]

但是目前Spring MVC还没有这方面的API,需要自己通过代码实现: 

@Component
public class TokenHandler {

    @Autowired
    private org.springframework.cache.CacheManager cacheManager;

    public String generate() {
        Cache cache = cacheManager.getCache("tokens");
        String token = UUID.randomUUID().toString();
        cache.put(token, token);
        return token;
    }

}

public class TokenTag extends SimpleTagSupport {

    public void doTag() throws JspException, IOException {
        ServletContext servletContext = ((PageContext) this.getJspContext()).getServletContext();
        WebApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(servletContext);
        TokenHandler handler = ctx.getBean(TokenHandler.class);

        JspWriter out = getJspContext().getOut();
        out.println("<input type=\"hidden\" id=\"token\" name=\"token\"  value=\"" + handler.generate() + "\""+ "/>");
        out.println("<input handler.generate="" hidden="" id="\" name="\" token="" type="\" value="\">");
   }

}

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface CheckToken {
    boolean remove() default true;
}

@Component("tokenInterceptor")
public class TokenInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = Logger.getLogger(TokenInterceptor.class);

    @Autowired
    private org.springframework.cache.CacheManager cacheManager;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        boolean valid = true;

        HandlerMethod method = (HandlerMethod) handler;

        CheckToken annotation = method.getMethodAnnotation(CheckToken.class);
        if (annotation != null) {
            String token = request.getParameter("token");
            logger.info("token in the request <" + token + ">.");
            Cache cache = cacheManager.getCache("tokens");
            if (StringUtils.isEmpty(token)) {
                valid = false;
                logger.info("token not found in the request.");
            } else if (!StringUtils.isEmpty(token) && cache.get(token) != null && !token.equals(cache.get(token).get())) {
                valid = false;
                logger.info("token in the cache <" + cache.get(token) == null ? "" : cache.get(token).get() + ">.");
            } else {
                if (annotation.remove()) {
                    cache.evict(token);
                }
            }

            if (!valid) {
                logger.info("token is not valid , set error to request");
                request.setAttribute("error", "invalid token");
            }
        }

        return super.preHandle(request, response, handler);
    }

}

@Controller
public class TestController {
    @CheckToken
    @RequestMapping(value = "/test.htm", method = RequestMethod.POST)
    public String test(WebRequest request) {
        logger.info(request.getAttribute("error", WebRequest.SCOPE_REQUEST));
        return "index";
    }
}


<mvc:interceptors>
  <ref bean="tokenInterceptor"/>
</mvc:interceptors>
<bean class="org.springframework.cache.ehcache.EhCacheCacheManager" id="cacheManager">
  <property name="cacheManager" ref="ehcache"/>
</bean>
<bean class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" id="ehcache">
  <property name="configLocation" value="classpath:ehcache.xml">
    <property name="shared" value="true"/>
  </property>
</bean>
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
         xsi:nonamespaceschemalocation="http://ehcache.org/ehcache.xsd">
 <cache name="tokens" eternal="false" 
        maxelementsinmemory="1000" overflowtodisk="false" 
        timetoidleseconds="10" timetoliveseconds="10"/>
</ehcache>


<taglib version="2.0" 
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
  xmlns="http://java.sun.com/xml/ns/j2ee" 
  xsi:schemalocation="http://java.sun.com/xml/ns/j2ee 
                      http://java.sun.com/xml/ns/j2ee/web-jsptaglibrary_2_0.xsd">
 <description>Spring MVC</description>
 <tlib-version>4.0</tlib-version>
 <short-name>token</short-name>
 <uri>http://www.test.com/spring/mvc/token</uri>
 <tag>
  <name>token</name>
  <tag-class>com.test.spring.token.tags.TokenTag</tag-class>
  <body-content>empty</body-content>
 </tag>
</taglib>


<%@taglib prefix="tk" uri="http://www.junjun-dachi.org/spring/mvc/token"%>
<form>
<tk:token></tk:token>
</form>


参考:
http://www.zhihu.com/question/19805411
http://technoesis.net/prevent-double-form-submission/
http://stackoverflow.com/questions/2324931/duplicate-form-submission-in-spring
http://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html
wayne_ren
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue中的表单数据提交
Debug的博客
10-20 6126
```handlebars <template> <div> <form action="" @submit.prevent="handleSubmit"> <input type="text" placeholder="账户" v-model="username"> <input type="text" placeholder="密码" v-model="password"&gt.
DoubleSubmit
EvelynHouseba的专栏
03-12 890
(1)问题描述      一般网页按refresh或reload更新网页时,browser会重复执行上一次get或post动作,如果没有检查这样的行为,则Double submit在重要应用会有问题(可能会下多次订单)。 (2)解决方法      利用token比对方式,当正常的submit动作时,client送到controller的token与session中的token比对相同,则
关于二重提交
weixin_30418341的博客
03-10 130
关于防止二重提交的解决方案以及对网站中使用这个解决方案出现的问题的分析防止二重提交应用的场景:新建某个资料时(注意是新建不是编辑),当资料提交完毕返回到资料展示页面之后,点击浏览器的返回按钮进入新建页面或者确认画面,并点击页面里的登陆按钮,返回二重提交错误 解决方案:form表单中加入隐藏的随机数+form表单提交后使提交按钮失效+禁用cache 详细说明1.form表单中加入隐藏的随机数 ...
js防止二重送信
OUTMAN的专栏
11-20 1085
<br />很久前用js做了个简单防止点击按钮重复提交表单的功能,即防止由于提交表单时间很长,页面没有响应,用户再次点击按钮,提交表单。<br /><script language="text/javascript"><br /> <br />var sendFlg = 0;<br />function submitGo() {<br /> <br />    if (sendFlg == 0) {<br />    <br />        sendFlg = 1;<br />        form.
让我们来谈谈 CSRF
最新发布
Javachichi的博客
05-03 1071
最近我碰到了一些CSRF(跨站请求伪造)的案例,借此机会我深入研究了一番。研究后发现,CSRF攻击确实挺可怕的,因为它很容易被忽视。幸运的是,现在很多开发框架都内置了防御CSRF的功能,可以很方便地启用。即便如此,我还是认为有必要深入了解一下CSRF究竟是什么,它是通过什么手段进行攻击的,以及我们应该如何防范。下面,我们就来简单介绍一下CSRF。CSRF是一种Web攻击手法,全称是,即跨站请求伪造。注意不要和XSS(跨站脚本攻击)混淆,它们是两种不同的攻击方式。那么,CSRF到底是什么呢?
cf7-no-double-submit:联系表格7防止多次提交WordPress插件
05-18
通过enablinig这个插件,当Contact Form 7仍在提交导致多次相同提交通过的表单时,它可以防止双击。 对于联系表7版本4.9或更高版本。 安装 通过此存储库下载此插件-单击“克隆或下载”下拉菜单,然后单击“下载ZIP”...
SpringBoot拦截器+注解方式实现防止表单重复提交
Gavin_wangzg的专栏
03-29 7868
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Gavin_wangzg/article/details/79738316 表单重复提交在web应用中是比较常见的问题,重复提交的动作容易造成脏数据,为了避免这重复提交的操作简便的方便是采用拦截器+注解的方式。 基本的原理: url请求时,用拦截器拦截,生成一个唯一的标识符(token),在新建...
jquery-prevent-double-submit:防止双重提交 jQuery 插件
07-09
`jquery-prevent-double-submit` 是一个轻量级的解决方案,它通过监听表单提交事件,一旦表单提交,就会阻止任何后续的提交尝试。这有助于维护数据的一致性和完整性,避免因为用户误操作或网络延迟导致的多次提交...
SpringBoot/Web项目防止表单/请求重复提交(单体和分布式)
空空说技术的博客
04-14 8254
SpringBoot/Web项目防止表单/请求重复提交(单机和分布式) 一、场景/方案 说起web项目的防止表单/请求重复提交,不得不说幂等性。 幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次。 1.1、常见场景: • 订单接口, 不能多次创建订单 • 支付接口, 重复支付同一笔订单只能扣一次钱 • 支付宝回调接口, 可能会多次回调, 必须处理重复回调 ...
SUBMIT的几种情况
04-23
SUBMIT的几种情况.............
Backend - Django CSRF 跨域请求伪造
是萝卜干呀的博客
01-29 1025
知识量决定了未来能走多远
什么是XSS、CSRF、CSP?如何防止攻击
tyxjolin的专栏
03-31 1372
前端安全是Web应用程序中一个重要的环节,它可以防止各种安全攻击的发生,保护Web应用程序的安全性和可靠性。在开发Web应用程序时,应该采用一系列的防范措施来保护前端的安全。这些防范措施包括防止XSS攻击、防止CSRF攻击、使用CSP等。同时,Web应用程序也应该定期更新和升级,进行安全审计和渗透测试,发现并修复可能存在的安全问题。在实践中,要注意防止过度防御和盲目相信输入数据的情况。过度防御可能会导致Web应用程序的性能下降,同时也可能会引入新的安全漏洞。
密码学系列之:csrf跨站点请求伪造
程序那些事
03-18 4604
CSRF的全称是Cross-site request forgery跨站点请求伪造,也称为一键攻击或会话劫持,它是对网站的一种恶意利用,主要利用的是已授权用户对于站点的信任,无辜的最终用户被攻击者诱骗提交了他们不希望的Web请求。 恶意网站可以通过多种方式来发送此类命令。 例如,特制的图像标签,隐藏的表单JavaScript XMLHttpRequests都可以在用户不交互甚至不知情的情况下工作。 如果发生了CSRF攻击,可能导致客户端或服务器数据意外泄漏,会话状态更改或者修改用户的信息。
提交表单double类型时,不能空赋值
qq_37051166的博客
08-21 1000
提交表单double类型的数值参数不能为空,否则出现页面错误 原因是:在实例化实体类时不能将空赋给double类型参数。出现实例化失败。
防止submit表单多次提交
阳水平的博客
08-24 4382
提交预约信息的时候,想要点击一次提交之后,将提交按钮置为disabled,做了下面尝试: &lt;button type="submit" class="btn btn-lg btn-primary" id="submit_once" onclick="getElementById('submit_once).disabled=true"&gt;提交&lt;/button&gt; 结果是
表单二次重复提交的问题
u010325193的博客
07-20 4860
如果网速比较慢的情况下,用户点击的提交发现半天没有反映,于是又重新点击了几次提交按钮,这就造成了重复提交的问题。那么在我们的开放中必须解决这种重复提交的问题。比如有个需要用户填写用户名和密码然后提交到后台进行登录验证的一个提交重复提交主要体现如下几种场景: 1、场景一:在网络延迟的情况下让用户有时间点击多次submit按钮导致表单重复提交。 在网络比较慢的情况下,用户连续快速的点击多次提交按...
用户重复提交的三种解决方案
菜鸟书生
04-09 1284
用户重复提交的三种解决方案:1.提交按钮首次提交之后消失或屏蔽,不做赘述2.struts的同步令牌机制首次了解这种解决方案,感觉挺好的,但随着深入,发现该方案并无实际的操作性....但思想很好,希望能给大家一些启发原理:1.首先通过saveToken()方法产生一个当前令牌,并通过标签隐藏在页面中2.提交到action时通过isTokenValid()检查用户令牌是否合法: 2.1 如果合法,则执
el-input 限制double类型
11-23
<el-button @click="submit">提交 export default { data() { return { inputValue: '', pattern: '^[0-9]+(\.[0-9]{1,2})?$' } }, methods: { submit() { // 提交表单逻辑 } } } ``` 通过上述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值