利用Session防止表单重复提交

最新推荐文章于 2020-11-22 17:24:52 发布
最新推荐文章于 2020-11-22 17:24:52 发布
阅读量243 收藏
点赞数
分类专栏: java javascript 学习 文章标签: java web

声明:本文转自《深入体验Java Web开发内幕》之核心基础一书,本书由张孝祥老师编著。

通过服务器端程序防止表单重复提交的基本原理如下:

    a.)包含有FORM表单的页面必须通过一个服务器程序动态产生,服务器程序为每次产生的页面中的FORM表单都分配一个唯一的随机标识号,并在FORM表单的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号;

    b.)  当用户提交FORM表单时,负责接收这一请求的服务器程序比较FORM表单隐藏字段中的标识号与存储在当前用户的Session域中存储的标识号是否相同,如果相同则处理表单数据,处理完后清除当前用户的Session域中的标识号。经过这样的处理后,当用户重复提交原来得到的FORM表单时,当前用户的Session域中已不存在相应的表单标识号,在下列情况下,服务器程序将忽略提交的表单请求:

  • 当前用户的Session中不存在表单标识号;
  • 用户提交的表单数据中没有标识号字段;
  • 存储在当前用户的Session域中的表单标识号与表单数据中的标识号不同。

    c.)  浏览器只有重新向Web服务器请求包含FORM表单的页面时,服务器程序才会产生另外一个随机标识号,并将这个标识号保存在Session域中和作为新返回的FORM表单中的隐藏字段值。

         以下的示例包含三个组件:TokenProcessor 和 FormGenerateServlet 和 FormDealServlet。TokenProcessor是用于管理表单标识号的工具类,它主要用于产生、比较和清除存储在当前用户Session中的表单标识号。FormGenerateServlet是用于产生FORM表单的Servlet程序,FormDealServlet是负责处理FORM表单请求的Servlet程序。

TokenProcessor.java示例源代码:

package huxin;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public class TokenProcessor {
	private long previous;   //上次生成表单标识号的时间值
	private static TokenProcessor instance = new TokenProcessor();
	public static String FORM_TOKEN_KEY = "FORM_TOKEN_KEY";
	
	private TokenProcessor(){
		
	}
	
	public static TokenProcessor getInstance(){
		return instance;
	}
	
	/**
	 * 验证请求消息中的标识号是否有效,如果请求消息中的表单标识号与当前用户的
	 * Session域中的表单标识号相同,返回结果为true,否则返回false。
	 * 
	 * @param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized boolean isTokenValid(HttpServletRequest request){
		/*为避免Session对象不存在时创建Session对象,下面的语句不用request.getSession()*/
		HttpSession session = request.getSession(false);
		if(session == null){
			return false;
		}
		
		String saved = (String) session.getAttribute(FORM_TOKEN_KEY);
		if(saved == null){
			return false;
		}
		
		String token = request.getParameter(FORM_TOKEN_KEY);
		if(token == null){
			return false;
		}
		
		return saved.equals(token);
	}
	
	/**
	 * 清除存储在当前用户Session中的表单标识号。
	 * 
	 * @param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized void resetToken(HttpServletRequest request){
		HttpSession session = request.getSession(false);
		if(session == null){
			return;
		}
		
		session.removeAttribute(FORM_TOKEN_KEY);
	}
	
	/**
	 * 产生表单标识号并将之保存在当前用户Session中。
	 * 
	 * @param request 封装当前请求消息的HttpServletRequest对象
	 */
	public synchronized void saveToken(HttpServletRequest request){
		HttpSession session = request.getSession();
		try{
			byte id[] = session.getId().getBytes();
			long current = System.currentTimeMillis();
			if (current == previous){
				current++;
			}
			previous = current;
			byte now[] = String.valueOf(current).getBytes();
			MessageDigest md = MessageDigest.getInstance("MD5");
			md.update(id);
			md.update(now);
			String token = toHex(md.digest());
			session.setAttribute(FORM_TOKEN_KEY, token);
		}catch(NoSuchAlgorithmException e){
			;
		}
	}
	/**
	 * 将一个字节数组转换成十六进制的字符串形式返回。
	 * @param buffer要被转换的字节数组
	 */
	public String toHex(byte buffer[]){
		StringBuffer sb = new StringBuffer(buffer.length*2);
		for(int i=0;i<buffer.length;i++){
			sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));//注意这里的与运算是和0xf0,同时进行了右移运算
			sb.append(Character.forDigit(buffer[i] & 0x0f, 16));   //注意这里的与运算是和0x0f
		}
		return sb.toString();
	}

}

FormGenerateServlet.java示例代码: 

package huxin;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet implementation class FormGenerateServlet
 */
@WebServlet("/FormGenerateServlet")
public class FormGenerateServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       
    /**
     * @see HttpServlet#HttpServlet()
     */
    public FormGenerateServlet() {
        super();
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see HttpServlet#service(HttpServletRequest request, HttpServletResponse response)
	 */
    
    protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		request.setCharacterEncoding("utf-8");
		response.setContentType("text/html;charset=utf-8");
		PrintWriter out = response.getWriter();
		TokenProcessor.getInstance().saveToken(request);
		String token = (String)request.getSession().getAttribute(TokenProcessor.FORM_TOKEN_KEY);
		out.println("<!DOCTYPE html PUBLIC '-//W3C//DTD XHTML 1.1//EN' 'http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd'>");
	    out.println("<html xmlns='http://www.w3.org/1999/xhtml' xml:lang='en'>");
        out.println("<html>");
		out.println("<head>");
        out.println("<title>Session Tonken</title>");
        out.println("<meta http-equiv='Content-Type' content='text/html; charset=utf-8' />");
        out.println("</head>");
        out.println("<body>");
		out.println("<form action='FormDealServlet'" + " method='post'>");
        out.println("<input type='hidden' name='" + TokenProcessor.FORM_TOKEN_KEY +"' value='" +token +"'>");
	    out.println("字段1:<input type='text' name='p1'><br>");
        out.println("<input type='submit' value='提交'>");
	    out.println("</form>");
		out.println("</body>");
		out.println("</html>");

		
	}
}

FormDealServlet.java示例源代码: 

package huxin;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * Servlet implementation class FormDealServlet
 */
@WebServlet("/FormDealServlet")
public class FormDealServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       
    /**
     * @see HttpServlet#HttpServlet()
     */
    public FormDealServlet() {
        super();
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see HttpServlet#service(HttpServletRequest request, HttpServletResponse response)
	 */
	protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		request.setCharacterEncoding("utf-8");
		response.setContentType("text/html;charset=utf-8");
		PrintWriter out = response.getWriter();
		TokenProcessor tokenProcessor = TokenProcessor.getInstance();
		
		if(!tokenProcessor.isTokenValid(request)){
			out.println("这是重复或非法提交!");
			return;
		}
		
		String p1 = request.getParameter("p1");
		if(p1==null || p1.trim().equals("")){
			out.println("请输入内容!");
			RequestDispatcher rd = request.getRequestDispatcher("FormGenerateServlet");
			rd.include(request, response);
		}else{
			out.println("提交内容已被处理!");
			tokenProcessor.resetToken(request);
		}
	}

}


xh078910
关注
专栏目录
SpringBoot使用Session防止表单重复提交(提供Gitee源码)
黄团团的个人博客
06-17 1668
在日常开发中,客户可能会存在反复点击提交按钮导致表单重复提交,这个问题也是非常需要重视的,在本篇博客中,采用的是session、自定义注解和拦截器的方式来防止重复表单重复提交,提高整体代码的优雅和整洁度!
浅谈利用Session防止表单重复提交
08-28
浅谈利用Session防止表单重复提交 SessionWeb应用程序中的一种机制,用于存储用户的会话信息。在Web应用程序中,表单重复提交是一个常见的问题,可能会导致数据库中产生冗余数据,浪费数据库资源。利用Session...
利用session防止表单重复提交
PacosonSWJTU的博客
11-22 907
1、是什么?一个表单不能多次提交; 2、为什么? 在网络不好或者并发请求时会导致多次重复提交数据的问题。防止重复提交,可以维护数据一致性; 3、怎么做? 把 session的编号和当前时间戳经过 MD5 加密并存入 session;(更加通用的方法是,把 用户名,密码当做加密源进行加密,得到摘要作为token) 【荔枝】转自 张孝祥 token 生成方式如下:(更加通用的方法是,把 用户名,密码当做加密源进行加密,得到摘要作为token) /** * 产生表单标识号并将之保存在当...
利用Session防止表单重复提交(推荐)
向技术大牛致敬
07-09 1330
实现原理: 服务器返回表单页面时,会先生成一个subToken保存于session,并把该subToen传给表单页面。当表单提交时会带上subToken,服务器拦截器Interceptor会拦截该请求,拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。 首次提交表单session的...
session防止表单重复提交
Super_Xiaoma的博客
10-25 1494
session案例1:防止表单重复提交   原理:     1,表单页面由servlet程序生成,servlet为每次产生的表单页面分配一个唯一的随机标识号,并在FORM表单的一个隐藏字段中设置这个标识号,同时在当前用户的Session域中保存这个标识号。     2,当用户提交FORM表单时,负责处理表单提交的serlvet得到表单提交的标识号,并与session中存储的标识号比较,如果相同则处...
session 防止表单重复提交
chenjin_chenjin的博客
03-22 414
   防止表单重复提交,是每个开发人员不可回避的问题。解决方式也有多种,这里记录一下的三种方式。表单重复提交的三种情况:(1)、网速较慢,或者延迟高,导致用户多次点击提交按钮。(2)、回退页面后再次提交。(3)、点击提交后,再次刷洗页面。(4)、打开多个tab,然后依次提交。一 解决方式。 对于情况1,可以提交后将button设置为不可用。或者添加flag,第一次提交将flag设置为true,再次...
使用Session防止表单重复提交
weixin_30516243的博客
04-03 86
防止重复提交表单,方法有: 1、利用JavaScript防止表单重复提交 2、利用Session防止表单重复提交 具体的做法:在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。然后将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Token一起提交到服务器端,...
使用session在服务端防止表单重复提交
一包大豫竹的博客
01-26 1980
相较于在客户端使用js等方式防止用户重复点击或者通过别的方式重复提交表单,在服务端使用session防止表单重复提交更能解决问题。当然前后端结合使用会给用户更好的体验思路:1、获取一个独一无二的token(防止重复提交的key),我们这里使用一个自己封装好的方(TokenProccessor),把获取到的token加到session中。2、新建form.jsp页面。使用servlet将token转发
JavaWeb学习总结(十三)——使用Session防止表单重复提交
a754315344的博客
09-09 273
JavaWeb学习总结(十三)——使用Session防止表单重复提交   在平时开发中,如果网速比较慢的情况下,用户提交表单后,发现服务器半天都没有响应,那么用户可能会以为是自己没有提交表单,就会再点击提交按钮重复提交表单,我们在开发中必须防止表单重复提交。 一、表单重复提交的常见应用场景 有如下的form.jsp页面 <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE HT
防止表单重复提交
Charge8的博客
12-22 624
开发的项目中可能会出现下面这些情况: 由于用户误操作,多次点击表单提交按钮。 由于网速等原因造成页面卡顿,用户重复刷新提交页面。 黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。 这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。 解决方案: 一、 使用一个token(令牌)的机制     ...
PHP+Session防止表单重复提交的解决方法
10-18
echo "请不用重复提交<a href='index.php'>PHP+SESSION防止表单重复提交</a>"; } } ?> ``` 除了上述方法,还可以使用另一种基于Token的策略来防止重复提交。在表单中添加一个隐藏的Token字段,其值存储在Session...
php通过记录IP来防止表单重复提交方法分析
10-25
本文将详细探讨通过记录IP地址来防止表单重复提交的策略,并与其他方法进行对比。 首先,通过记录IP地址来防止表单重复提交的基本思路是:当用户首次提交表单时,服务器记录下用户的IP地址,然后在接下来的一段时间...
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
基于Java的学生信息管理系统的实现与操作
10-12
本文介绍了一个Java实现的小型系统 -- 学生信息管理系统,包括学生数据的增删查改四个主要操作的功能演示,并具体讲解了涉及三个核心类(Student.java、StudentManager.java、StudentFrame.java)的设计思想以及代码逻辑。适合Java初学者用来了解面向对象的概念应用以及Swing工具包进行GUI创建的基础方法和步骤。系统通过提供文本框用于输入学生ID和其他必要信息,并提供按钮来执行对应指令,显示栏展示查询结果显示,使操作变得更为简洁直观有效。 适用于初步掌握Java基础的开发者,特别是想要加强自己对面向对象编码思维理解和运用的同学。 使用此管理系统可以在本地电脑环境上进行学生的数据维护工作(如增删改查),提高学校教务工作者处理信息的效率。 除了基本的数据录入和搜索之外,该项目也帮助理解如何设计合理的模型类并使用集合存储大量数据元素,另外还介绍了如何通过事件监听的方式绑定用户行为和应用程序之间的交互流程。
基于单片机控制的填块切割装置的设计_孟紫腾.pdf
10-12
基于单片机控制的填块切割装置的设计_孟紫腾
ImageNet-1K数据集索引和对应的中英文表单
10-12
ImageNet-1K数据集索引和对应的中英文表单
B站叫叫兽粉丝专属-YOLOv11改进免费送
10-12
B站叫叫兽粉丝专属-YOLOv11改进免费送 ! YOLOv11全网最新创新点改进系列:免费送!!!改进且跑通的源码!!融入CBAM注意力,将通道注意力和空间注意力相结合,嘎嘎提升V11算法,叫叫首,改进速度遥遥领先,粉丝水文速度遥遥领先!!! YOLOv11全网最新创新点改进系列:免费送!!!改进且跑通的源码!!通过增加检测层来提高对小目标特征信息的提取能力,旨在提升YOLOv11模型的小目标、密集型目标的检测精度!!!
400w微型逆变器, 基于stm32g474实现 设计方案,不是成品 带有源代码、原理图(AD)、PCB(AD)
10-12
400w微型逆变器, 基于stm32g474实现 设计方案,不是成品 带有源代码、原理图(AD)、PCB(AD)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值