[20][04][21] 表单重复提交

最新推荐文章于 2023-07-13 11:19:18 发布
最新推荐文章于 2023-07-13 11:19:18 发布
阅读量2.9k 收藏
点赞数
分类专栏: 信息安全 文章标签: 信息安全 重复提交表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122435076
版权

文章目录

1. 业务背景

在日常业务中经常会出现短时间内重复点击提交按钮场景,例如抢票,电商秒杀,各种投票,薅羊毛活动

如果不做表单重复提交过滤,服务器压力很大,还有就是会存在安全问题,导致网站被薅羊毛

2. 表单重复提交解决方案

2.1 前端解决方案

提交后按钮禁用,置灰,页面出现遮罩

2.2 后端解决方案

使用表单提交专属 token,每个 token 只能使用一次

  • 在表单提交页面调用接口,获取此次表单提交需要使用的 token,后端将 token 存放至 redis 设置短时间过期策略
  • 在提交表单时,将生成的 token 放入 request 的 header 或者 body
  • 后端在收到表单提交请求后,从 header 或 body 中获取 token,如果能够从 redis 中获得该令牌 (获取后将当前令牌删除),则继续执行访问的业务逻辑,如果从 redis 获取不到则返回重复提交
前端 后端 redis 获取当前表单提交的token 生成token保存至redis 返回token 提交表单,token在header中 校验token是否在redis存在 token存在 删除token token有效,表单提交成功 再次提交表单,token在header中 校验token是否在redis存在 token不存在 重复提交表单 前端 后端 redis

2.2.1 注解

/**
 * 防止重复提交注解
 * @author oscar
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface ApiRepeatSubmit {
    ConstantUtils value();
}

/**
 * 生成token注解
 * @author oscar
 */
@Target(value = ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface ApiToken {

}

2.2.2 枚举类

/**
 * 定义从哪里取Token的枚举类
 * @author oscar
 */
public enum ConstantUtils {
    /**
     * 从请求体中取token
     */
    BOOD,
    /**
     * 从请求头中取token
     */
    HEAD
}

/**
 * 响应码枚举类
 * @author oscar
 */
public enum ResponseCode {
    SUCCESS("000000", "成功"),
    // 通用模块 1xxxx
    ILLEGAL_ARGUMENT("100000", "参数不合法"),
    REPETITIVE_OPERATION("100001", "请勿重复操作"),
    ;

    ResponseCode(String code, String msg) {
        this.code = code;
        this.msg = msg;
    }
    private String code;
    private String msg;

    public String getCode() {
        return code;
    }
    public void setCode(String code) {
        this.code = code;
    }
    public String getMsg() {
        return msg;
    }
    public void setMsg(String msg) {
        this.msg = msg;
    }
}

2.2.3 拦截器

/**
 * 重复提交表单拦截器
 * @author oscar
 */
@Aspect
@Component
@Slf4j
public class NoRepeatSubmitAop {

    /**
     * 表单提交 token 字段名
     */
    private static final String FORM_TOKEN_NAME = "formToken";

    @Autowired
    private RedisTokenUtils redisTokenUtils;

    /**
     * 将token放入请求
     *
     * @param pjp
     * @param nrs
     */
    @Before("execution(* com.zhunongyun.toalibaba.commoncode.controller.*Controller.*(..)) && @annotation(nrs)")
    public void before(JoinPoint pjp, ApiToken nrs) {
        ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        HttpServletResponse response = attributes.getResponse();
        response.setHeader(FORM_TOKEN_NAME, redisTokenUtils.getToken());
    }


    /**
     * 拦截带有重复请求的注解的方法
     *
     * @param pjp
     * @param nrs
     */
    @Around("execution(* com.zhunongyun.toalibaba.commoncode.controller.*Controller.*(..)) && @annotation(nrs)")
    public Object arround(ProceedingJoinPoint pjp, ApiRepeatSubmit nrs) {

        try {
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            HttpServletRequest request = attributes.getRequest();

            String token = null;
            if (nrs.value() == ConstantUtils.BOOD) {
                //从 参数 中取Token
                token = (String) request.getAttribute(FORM_TOKEN_NAME);
            } else if (nrs.value() == ConstantUtils.HEAD) {
                //从 请求头 中取Token
                token = request.getHeader(FORM_TOKEN_NAME);
            }

            if (StringUtils.isEmpty(token)) {
                log.error("获取token失败");
                return ResponseVO.fail(ResponseCode.REPETITIVE_OPERATION, "获取token失败");
            }
            if (!redisTokenUtils.findToken(token)) {
                log.error("重复提交");
                return ResponseVO.fail(ResponseCode.REPETITIVE_OPERATION, "重复提交");
            }
            log.error("正常提交表单");
            Object o = pjp.proceed();
            return o;
        } catch (Throwable e) {
            log.error("验证重复提交时出现未知异常:{}", e);
            return ResponseVO.fail(ResponseCode.REPETITIVE_OPERATION, "验证重复提交时出现未知异常");
        }
    }
}

2.2.4 返回响应

@Data
public class ResponseVO {
    private String code;
    private String msg;
    private Object data;

    private ResponseVO() {

    }

    private ResponseVO(String code, String msg, Object data) {
        this.code = code;
        this.msg = msg;
        this.data = data;
    }

    private ResponseVO(String code, String msg) {
        new ResponseVO(code, msg, null);
    }

    public static ResponseVO success() {
        return new ResponseVO(ResponseCode.SUCCESS.getCode(), ResponseCode.SUCCESS.getMsg());
    }

    public static ResponseVO success(Object data) {
        return new ResponseVO(ResponseCode.SUCCESS.getCode(), ResponseCode.SUCCESS.getMsg(), data);
    }

    public static ResponseVO fail(ResponseCode responseCode, Object data) {
        return new ResponseVO(responseCode.getCode(), responseCode.getMsg(), data);
    }

    public static ResponseVO fail(String code, String msg, Object data) {
        return new ResponseVO(code, msg, data);
    }

    public static ResponseVO fail(String code, String msg) {
        return fail(code, msg, null);
    }
}

2.2.5 接口

/**
 * 解决表单重复提交
 * @author oscar
 */
@RestController
@RequestMapping("form")
public class FormRepeatSubmissionController {

    /**
     * 进入页面
     * @return
     */
    @ApiToken
    @GetMapping("index")
    public ResponseVO index(){
        return ResponseVO.success();
    }

    /**
     * 提交表单
     * @param data
     * @return
     */
    @ApiRepeatSubmit(ConstantUtils.HEAD)
    @PostMapping("add")
    public ResponseVO saveData(@RequestBody String data) {
        return ResponseVO.success(data);
    }
}

2.2.6 测试

获取表单提交需要的 token

xx

第一次提交表单

xx

再次提交表单

xx

使用 JMeter 压测结果正常

xx

安全新司机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp3.2 防止表单重复提交
09-10
在Web开发中,防止表单重复提交是一个重要的问题,它能确保用户操作的唯一性和数据的一致性。ThinkPHP 3.2 是一个基于MVC模式的PHP开发框架,提供了丰富的功能来帮助开发者构建安全、高效的应用。在这个场景中,我们...
JSP针对表单重复提交的处理方法
10-23
在Web开发中,表单重复提交是一个常见的问题,它可能导致数据不一致,服务器资源浪费,甚至影响用户体验。JSP(JavaServer Pages)作为Java的一种动态网页技术,提供了多种方法来处理这种问题。以下是对JSP中针对...
[JavaScript]您所查找的网页要使用输入信息返回此页可能需要重复进行的所有操作。是否要继续操作
最新发布
Balmunc的专栏
07-13 1125
您所查找的网页要使用输入信息返回此页可能需要重复进行的所有操作。如果要禁用如上提示,加一句。
解决360浏览器刷新时会报“确认重新提交表单 您所查找的网页要使用输入信息”的问题 JS改变地址栏url而不跳转 history index login
tanzongbiao的专栏
12-24 3946
360浏览器刷新时老是提示:确认重新提交表单 您所查找的网页要使用输入信息返回此页可能需要重复进行的所有操作。是否要继续操作? //like12 add,20211223,bug,解决360浏览器刷新时会报“确认重新提交表单 您所查找的网页要使用输入信息”的问题 if(document.URL.indexOf("login") != -1){ history.pushState(null,"","index");//JS改变地址栏url而不跳转 //window.locati
用户刷新页面重复提交数据问题及WEB-INF文件夹相关解析
qq_34592810的博客
10-24 2303
用户刷新页面重复提交数据问题及WEB-INF文件夹相关解析
Vue防止表单重复提交
su330494482的博客
06-13 7513
有两种方法 <!DOCTYPE html> <html> <head> <title>页面</title> <meta http-equiv="Content-Type" content="textml; charset=UTF-8"> <...
JavaWeb-表单重复提交问题
郭松源的博客
11-14 1105
1. 使用请求转发 用户提交表单,服务器使用请求转发来进行页面跳转。这个时候,如果用户按下功能键F5进行刷新,就会重复发起最后一次请求,造成表单重复提交。 // 错误示范 public class RegistServlet extends HttpServlet { UserService userService = new UserServiceImpl(); @Override protected void doGet(HttpServletRequest req, HttpServletR
基于springboot实现表单重复提交.docx
03-01
基于 SpringBoot 实现表单重复提交解决方案 表单重复提交是指在一次请求完成之前防止重复提交,解决表单重复提交有多种形式,以下以 Aop+自定义注解+Redis 为例来介绍。 解决方案的详细流程 1. 当页面加载时,...
防止Layui form表单重复提交的实现方法
10-16
今天小编就为大家分享一篇防止Layui form表单重复提交的实现方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
jquery 防止表单重复提交代码
10-29
本文将深入讲解如何利用 `jQuery` 防止表单重复提交,并提供一个实际的代码示例。 首先,我们来理解表单重复提交的问题。当用户快速连续点击提交按钮,或者由于网络延迟,页面可能在第一次提交请求未完成时再次发送...
防止页面重复提交、刷新、后退与数据库中的重复记录
fantaxy025025的专栏
05-15 172
莫名原因,数据库中出现了重复记录,这是个大问题,尤其是对业务链产生很大破坏!   这个问题的直接表现:数据库中出现重复记录。(当然了,主键肯定不一样)   原因考量: 1. 重复提交、后退、刷新 这个方法参考了 http://zhouhua.blog.51cto.com/601404/120168 的方法,但是发现并没有完全起到作用。 2. 业务组件的重复写入 因为不是客户端的原...
重复提交重复刷新、防止后退的问题以及处理方式
johncools的博客
05-27 1579
 重复提交重复刷新、防止后退的问题以及处理方式一。前言你在任何一个比较专业的BBS都会看到这样的问题,即使你Google一下,也会发现有很多的人在关注和询问,但大家给出的解决方法却都是千差万别,(有的人主张采用脚本来解决;有的则想重定向到别的页面;有的则将此问题提升到Token的角度)为什么会有如此大的差异呢?二。问题场景首先,我们应该先了解为什么要处理这样的问题?或者专业一点就是它
[20][03][06] Apache POI 安全漏洞(CVE-2019-12415)
安全新司机
12-21 6671
文章目录1. 描述2. 场景3. 漏洞复现3.1 引入 apache poi 组件 4.1.0 版本3.2 下载测试用例 excel3.3 制作恶意 excel3.4 测试代码4. 修复方案 1. 描述 Apache POI是 Apache 的一个开源函数库,它提供API给Java程序可对 Excel 进行读和写操作的组件 poi 组件存在以下 CVE 2. 场景 此次要分析的是 CVE-2019-12415 Apache POI 版本 <= 4.1.0 中,当使用 XSSFExportToXml
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3369
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是弱的 Cipher.getInstance("RSA/NONE/NoPadding") 中 RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
[20][03][79] Server-Side Request Forgery
安全新司机
01-12 3172
文章目录1. 问题描述2. 问题场景2.1 函数详解2.1.1 URL2.1.2 URLConnection2.1.3 HttpURLConnection2.2 可能存在漏洞的点2.2.1 HttpURLConnection2.2.2 URLConnection2.2.2.1 使用 file 协议2.2.2.2 使用 netdoc 协议2.2.2.3 使用 jar 协议2.2.2.4 jar+http2.2.3 ImageIO2.2.4 HttpClients2.2.5 OkHttpClient 1. 问题
前端怎么防止表单重复提交
05-13
前端可以通过以下几种方式来防止表单重复提交: 1. 禁用提交按钮:在表单提交后,禁用提交按钮,直到服务器返回响应。这样可以防止用户重复提交表单。 2. 增加 loading 动画:在表单提交后,增加 loading 动画,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值