小博老师解析Java核心技术点 ——表单令牌(二)

最新推荐文章于 2024-09-08 11:09:43 发布
最新推荐文章于 2024-09-08 11:09:43 发布
阅读量91 收藏 1
点赞数
文章标签: java python
原文链接:https://my.oschina.net/u/2971691/blog/793054
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

[步骤解读三]添加表单令牌

这种用户绕开表单的情况是非常危险的,比如用户可以自己编写一个小程序,循环向服务器发送多次请求,使用穷举算法暴力破解密码。因此这种现象我们在编程中要想方设法防止。

为了防止这种用户绕开表单的现象,我们可以在服务器生成一个UUID(全局唯一标识)作为令牌,存放在表单的隐藏域中,同时在Session中也存放一份。当表单提交给服务器时,服务器判断表单提交的令牌数据,是否和Session中存放的数据一致。并且每次会话都会随机生成新的令牌,因此用户就无法绕开表单而循环多次向服务器发送请求了。

接下来,小博老师就为大家演示一下如何简单制作表单令牌的过程,首先我们修改jsp页面,核心代码如下:

<body>

<% 

UUID uuid = UUID.randomUUID();

session.setAttribute("BWFToken", uuid.toString());

%>

<form action="BWFToken" method="POST">

账户名称:<input type="text" name="username"/><br/><br/>

账户密码:<input type="password" name="userpass"/><br/><br/>

<input type="hidden" name="BWFToken" value="<%= session.getAttribute("BWFToken")%>"/>

<input type="submit" value="登  录"/>

</form>

</body>

我们通过浏览器访问jsp页面,然后右键、查看源代码:

006zipb5zy76DVvukBy08&690

发现表单中增加了一个隐藏域,其值就是令牌的数据,并且多次刷新页面,这个令牌值每次都不一样的(如果需要,可以再次进行加密)。

接下来我们修改Servlet中的功能,优先校验表单令牌数据,核心代码如下:

@WebServlet("/BWFToken")

public class BWFTokenServlet extends HttpServlet {

protected void doPost(HttpServletRequest request, HttpServletResponse response)

throws ServletException, IOException {

 

PrintWriter out = response.getWriter();

 

// 校验令牌数据

if(  request.getSession().getAttribute("BWFToken") == null || request.getParameter("BWFToken") ==null || request.getSession().getAttribute("BWFToken").toString().equals( request.getParameter("BWFToken") ) == false ){

// 令牌校验失败  给出提示信息

out.println("Your token has error!");

return;

}

 

String username = request.getParameter("username");

String userpass = request.getParameter("userpass");

 

out.println("username="+username+",userpass="+userpass);

}

}

至此,简单的表单令牌效果已经制作完成了,我们来测试一下。首先我们通过jsp页面向服务器Servlet发送请求,令牌数据校验正确:

006zipb5zy76DVyOuCH07&690

然后我们再使用之前编写的小程序,利用Ajax向服务器Servlet发送请求:

006zipb5zy76DVCBmx937&690

转载于:https://my.oschina.net/u/2971691/blog/793054

weixin_34041003
关注
小博老师解析Java核心技术 ——KindEditor文本编辑器使用
bwf_erg的博客
12-20 501
[引言] 我们在制作Java Web项目的时候,经常会需要用户输入并提交内容复杂的信息,比如文字、图片、表格、样式混排的数据信息,这样简单的文本域控件就难以满足我们的需求了,此时我们则需要使用一些“富文本”编辑器了。文本小博老师就为大家介绍一款非常简单易学,却又功能强大的文本编辑器——KindEditor。 [步骤阅读一]文本编辑器原理 其实文本编辑器的原理非常容易理解,它通过Javascr
Java核心技术·卷I(原书第12版)
jascl的博客
11-14 1万+
他是《Java核心技术》两卷本的作者,也是《重要的,第版》(Addison-Wesley,2018)的Core Java SE 9和《重要的,第版》(Addison-Wesley,2017)的作者。读者应在充分理解Java语言和Java类库的基础上,灵活应用Java提供的高级特性,包括面向对象编程、反射和代理、接口和内部类、异常处理、泛型编程、集合框架、事件监听器模型、图形用户界面设计和并发。☉第四章介绍了面向对象的两大基石——封装的重要概念,以及Java语言实现封装的机制——类和方法;
Java 使用Token令牌防止表单重复提交
Cary_1029的博客
11-23 322
Token验证详解 参考来源:https://blog.csdn.net/woshihaiyong168/article/details/52857479 使用Token令牌防止表单重复提交 参考来源:https://blog.csdn.net/cuiyaoqiang/article/details/50960787 先记录下来,后续将token令牌加到项目,本人再更新本文...
java 令牌解析,小博老师解析Java核心技术 ——表单令牌(一)
weixin_39793794的博客
03-14 119
[理论知识]我们在网站开发的过程中,经常需要会使用到form表单表单提供了丰富的客户端与服务器端交互的控件。但是在开发过程中,我们需要注意表单的各方面安全性问题,比如防止客户绕开表单向服务器发送请求(这是一个很危险的现象)。在我们学习过的技术中,有很多技术都是为了确保表单的安全性,比如验证码技术(虽然它是一个对于普通用户很不友好的东西)。在本系列文章中,小博老师就为大家讲解表单安全性的另一个技术...
学习Java 采取令牌的方式避免重复提交
哈希马普的博客
04-29 211
重复提交原因 从提交页面到成功页面的跳转一般采用视图定位,由于视图定位是在服务端跳转的,如果用户在击提交之后再次刷新页面,会导致重复提交,数据库的数据会有重复。 采用令牌措施 1、在转账展示页面生成一个随机的令牌号码,然后放入session和传参中。 @RequestMapping("/toTrans")// public String toTrans(ModelM...
java 防止表单的重复提交-令牌机制
m0_38068812的博客
09-15 816
没有完整的进行一次请求页面-&gt;提交页面的过程而完成数据提交 一.造成重复提交的原因:    1.由于服务器缓慢或网络延迟的原因,重复击提交按钮    2.已经提交成功,刷新成功页面(forward)    3.已经提交成功,通过回退,再次击提交按钮 注意: 回退后,刷新表单页面,再次提交这时不是重复提交,而是发送新的请求       在Firefox下,重复提交到同一地址无效 能用U...
防止重复提交表单————表单令牌的使用
coco1118的博客
12-14 578
前台form表单里添加如下: &amp;lt;input type=&quot;hidden&quot; name=&quot;__token__&quot; value=&quot;{$Request.token}&quot;/&amp;gt; 后台 //apalication/index/controller/index.php/test $posts = input('post.')['data']; //验
ThinkPHP5.1表单令牌Token失效问题的解决
01-20
ThinkPHP出于安全的考虑增加了表单令牌Token,由于通过Ajax异步更新数据仅仅部分页面刷新数据,就导致了令牌Token不能得到更新,紧接着的第次新建或更新数据(提交表单时)失败——不能通过令牌的验证。...
java微博毕设系统——美食商城.zip
07-14
下面将详细解析这个系统的各个组成部分及其知识。 首先,前端部分主要由HTML、CSS和JavaScript构建。HTML(HyperText Markup Language)是网页的基础,用于定义页面结构和内容;CSS(Cascading Style Sheets)则...
Java实现登录token令牌
热门推荐
我是老伯的博客
03-19 1万+
用户信息登录使用token令牌,使得用户有单独得信息
JavaWeb 如何防止表单重复提交 - 使用Token,令牌
weixin_30408309的博客
09-20 209
JavaWeb 如何防止表单重复提交 - 使用Token,令牌 说到重复提交 ,应该想到两种场景:1. 在下单,或者支付 这种情况 那么不允许 刷新,不允许后退再击提交(后退之后提交会失败,修改了也不行)。2. 在填写表单之后,提交完成之后,不允许 刷新,但是允许 返回之后 提交,给用户修改表单的机会。 解决方法 首先可以防止用户刷新,处理完成之后用Redirect的方式 跳...
Spring Boot + Token 实现接口幂等性 | 防止表单重复提交
骏马逸动,心随你动的博客
08-16 7356
一、概念 幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次 比如: 订单接口, 不能多次创建订单 支付接口, 重复支付同一笔订单只能扣一次钱 支付宝回调接口, 可能会多次回调, 必须处理重复回调 普通表单提交接口, 因为网络超时等原因多次击提交, 只能成功一次 等等 、常见解决方案 唯一索引 -- 防止新增脏数...
验证-表单令牌
weixin_30868855的博客
05-28 189
表单令牌 验证规则支持对表单令牌验证,首先需要在你的表单里面增加下面隐藏域:<input type="hidden" name="__token__" value="{$Request.token}" /> 或者{:token()} 然后在你的验证规则中,添加token验证规则即可,例如,如果使用的是验证器的话,可以改为: protected $rule ...
springMVC中基于token防止表单重复提交
letter_Believe的博客
07-24 506
表单重复提交
spring事务详细讲解-深入浅出
小电玩
09-08 536
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
最新发布
m0_63550220的博客
09-08 1521
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
Java中间件技术:表单处理与JSP示例代码解析
"Java中间件技术及其应用开发的课程源代码,包含HTML表单和JSP处理表单数据的示例。" 在Java中间件技术中,Web开发是一个重要的组成部分,这里涉及到的是HTML表单以及使用JSP处理表单提交的数据。首先,HTML部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值