热门标签
热门文章
- 1Gradle - Android Plugin DSL_android 插件使用plugins dsl
- 2UE4入门之软件安装
- 3android studio 运行闪退,ubuntu上在androidstudio中启动emulator闪退的解决方法
- 4NXP iMX8系列处理器TSN网络时钟同步测试_nxp tsn 的协议栈
- 5【Android入门到项目实战-- 11.1】—— 实现悬浮按钮_android 悬浮按钮
- 6Android 抽屉模型实现(Drawer),AndroidX and NavigationView_android drawer
- 7LLM之RAG实战(二十六)| 使用llamaindex-cli无需一行代码即可实现RAG_llama-index-cli llama-index-vector-stores-chroma 0
- 8【开源项目】推荐一款万能清点工具renxianqi人贤齐重磅发布!_视频人数清点软件
- 9将view对象转化为Bitmap
- 10flutter 输入框弹出键盘后高度超出解决_flutter showdialog弹出键盘变高
当前位置: article > 正文
防止表单重复提交 方法汇总_利用session防止表单重复提交
作者:2023面试高手 | 2024-03-14 12:44:30
赞
踩
利用session防止表单重复提交
背景
表单重复提交会造成数据重复,增加服务器负载,严重甚至会造成服务器宕机等情况,有效防止表单重复提交有一定的必要性。
常见的防止表单重复提交解决方案有以下几种:
一、通过一个标识来控制表单提交之后,再次提交会直接返回处理
示例:
- <html>
- <head>
- <title>防止表单重复提交</title>
- </head>
- <body>
- <form action="/path/post" onsubmit="return dosubmit()" method="post">
- <input type="submit" value="提交" id="submit">
- </form>
- <script type="text/javascript">
- //默认提交状态为false
- let isCommitted = false;
- function dosubmit(){
- if(isCommitted == false){
- //提交表单后,讲提交状态改为true
- commitStatus = true;
- //返回true,让表单正常提交
- return true;
- }else{
- return false;
- }
- }
- </script>
- </body>
- </html>
二、通过点击提交一次按钮之后,将该按钮设置为不可用处理
示例:
- <html>
- <head>
- <title>防止表单重复提交</title>
- </head>
- <body>
- <form action="/path/post" onsubmit="return dosubmit()" method="post">
- <input type="submit" value="提交" id="submit">
- </form>
- <script type="text/javascript">
- function dosubmit() {
- //获取表单提交按钮
- Var btnSubmit = documen.getElementById("sumit");
- //将表单提交按钮设置为不可用,可以避免用户再次点击提交按钮进行提交
- btnSubmit.disabled = "disabled";
- //返回true让表单可以提交
- return true;
- }
- </script>
- </body>
- </html>
注意:通过js代码,当用户点击提交按钮后,屏蔽提交按钮使用户无法点击提交按钮或点击无效,从而实现防止表单重复提交。
三、给数据库增加唯一键约束
在创建数据库建表的时候在ID字段添加主键约束,用户名、邮箱、电话等字段加唯一性约束,以确保数据库只可以添加一条数据。数据库加唯一性约束sql:
alter table tableName_xxx add unique key uniq_xxx(field1, field2)
服务器及时捕捉插入数据异常:
- try {
- xxxMapper.insert(user);
- } catch (DuplicateKeyException e) {
- logger.error("user already exist");
- }
注意:通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单(攻击网站),服务器大量执行sql插入语句,增加服务器和数据库负荷。
四、利用Session+token防止表单重复提交(建议)
原理
服务器返回表单页面时,会先生成一个token保存于session,并把该toen传给表单页面。当表单提交时会带上token,服务器拦截器Interceptor会拦截该请求,拦截器判断session保存的token和表单提交token是否一致:若不一致或session的token为空或表单未携带token则不通过;首次提交表单时session的token与表单携带的token一致走正常流程,然后拦截器内会删除session保存的token。当再次提交表单时由于session的token为空则不通过。从而实现了防止表单重复提交。
步骤
在服务器端生成一个唯一的token(令牌),同时在当前用户的Session域中保存这个token。
将token发送到客户端的form表单中,在form表单中使用隐藏域来存储这个token,表单提交的时候连同这个token一起提交到服务器端。
在服务器端判断客户端提交上来的token与服务器端生成的token是否一致:如果不一致,那就是重复提交了,此时服务器端就可以不处理重复提交的表单;如果相同则处理表单提交,处理完后清除当前用户的Session域中存储的token。
示例
第一步:定义防止重复提交注解
在打开页面方法上,设置createToken()为true,此时拦截器会在Session中保存一个token,同时需要在页面中添加<input type="hidden" name="token" th:value="${session.token}">,保存方法需要验证重复提交的,设置removeToken为true,此时会在拦截器中验证是否重复提交
- @Target(ElementType.METHOD)
- @Retention(RetentionPolicy.RUNTIME)
- public @interface Resubmit {
- /**
- * 创建Token
- * @return
- */
- boolean createToken() default false;
-
- /**
- * 移除Token
- * @return
- */
- boolean removeToken() default false;
- }
第二步:创建拦截器
- @Slf4j
- public class ResubmitInterceptor implements HandlerInterceptor {
- @Override
- public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
- if(handler instanceof HandlerMethod){
- HandlerMethod handlerMethod = (HandlerMethod) handler;
- Method method = handlerMethod.getMethod();
-
- Resubmit annotation = method.getAnnotation(Resubmit.class);
- if (annotation != null) {
- boolean saveSession = annotation.createToken();
- if (saveSession) {
- //在服务器端生成一个唯一的token(令牌),同时在当前用户的Session域中保存这个token
- String token = System.currentTimeMillis() + new Random().nextInt(999999999) + "";
- request.getSession(false).setAttribute("token", token);
- }
-
- boolean removeSession = annotation.removeToken();
- if (removeSession) {
- if (isRepeatSubmit(request)) {
- log.warn("重复提交:" + "url:" + request.getServletPath());
- request.setAttribute("url",request.getServletPath());
- response.sendRedirect(request.getContextPath()+"/resubmitError");
- return false;
- }
- // 处理完后清除当前用户的Session域中存储的token
- request.getSession(false).removeAttribute("token");
- }
- }
- }
- return true;
- }
-
- /**
- * 在服务器端判断客户端提交上来的token与服务器端生成的token是否一致
- * - 如果不一致,那就是重复提交了,此时服务器端就可以不处理重复提交的表单
- * - 如果相同则处理表单提交
- * @param request
- * @return 重复提交返回true,否则返回false
- */
- private boolean isRepeatSubmit(HttpServletRequest request) {
- Object token = request.getSession(false).getAttribute("token");
- if(token == null){
- return true;
- }
- String serverToken = (String) token;
- if (serverToken == null) {
- return true;
- }
- String clientToken = request.getParameter("token");
- if (clientToken == null) {
- return true;
- }
- if (!serverToken.equals(clientToken)) {
- return true;
- }
- return false;
- }
- }
第三步:配置拦截器
- @Configuration
- public class WegoMvcConfig implements WebMvcConfigurer {
- /**
- * 拦截器配置
- */
- @Override
- public void addInterceptors(InterceptorRegistry registry) {
- //注册防重复提交拦截器
- registry.addInterceptor(new ResubmitInterceptor())
- .addPathPatterns("/**");
- }
- }
第四步:控制器
- @Controller
- public class SecurityController {
- /**
- * 打开注册页面
- */
- @GetMapping("openRegister")
- @Resubmit(createToken = true)
- String openRegister() {
- return "frontend/register";
- }
-
- /**
- * 注册逻辑
- */
- @PostMapping("/register")
- @Resubmit(removeToken = true)
- String register(UserRegisterDTO userRegisterDTO, HttpSession session, Model model) {
- //……
- }
-
- @GetMapping("/resubmitError")
- String error(){
- return "frontend/resubmitError";
- }
- }
第五步:页面
- register.html
- <html lang="en" xmlns:th="http://www.thymeleaf.org">
- <body>
- <form id="registerForm" class="reg" method="post" th:action="@{/user/register}">
- <!--防止表单重复提交-->
- <input type="hidden" name="token" th:value="${session.token}">
- 账户名:<input id="account" name="account" type="text"/>
- 请设置密码:<input id="password1" name="password1" type="password"/>
- 请确认密码:<input id="password2" name="password2" type="password"/>
- <input type="submit" value="注册"/>
- </form>
- </body>
- </html>
- resubmitError.html
- <html lang="en" xmlns:th="http://www.thymeleaf.org">
- <body>
- <h2>重复提交<h2>
- </body>
- </html>
五、使用Redis+AOP自定义切入实现 (推荐)
原理:
自定义防止重复提交标记(@AvoidRepeatableCommit)
对需要防止重复提交的Controller里的mapping方法加上该注解
新增Aspect切入点,为@AvoidRepeatableCommit加入切入点
每次提交表单时,Aspect都会保存当前key到redis(须设置过期时间)
重复提交时Aspect会判断当前redis是否有该key,若有则拦截。
示例
第一步:创建注解
- @Target(ElementType.METHOD)
- @Retention(RetentionPolicy.RUNTIME)
- public @interface Resubmit {
- /**
- * 指定时间内不可重复提交,单位毫秒,默认120000毫秒
- */
- long timeout() default 120000 ;
- }
第二步:创建增强
- @Slf4j
- @Aspect
- @Component
- public class ResubmitAspect {
- @Resource
- private StringRedisTemplate stringRedisTemplate;
- @Around("@annotation(com.wego.common.utils.resubmit.Resubmit)")
- public Object around(ProceedingJoinPoint point) throws Throwable {
- ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
- HttpServletRequest request = attributes.getRequest();
- Object userObj = request.getSession(false).getAttribute("user");
- UserSession user = null;
- if(userObj != null){
- user = (UserSession) userObj;
- }
- MethodSignature signature = (MethodSignature) point.getSignature();
- Method method = signature.getMethod();
- //目标类、方法
- String className = method.getDeclaringClass().getName();
- String methodName = method.getName();
- String fullMethodName = String.format("%s.%s", className, methodName);
- String key = String.format("%s_%d", Math.abs(user.hashCode()), Math.abs(fullMethodName.hashCode()));
- log.info(String.format("ipKey=%s,hashCode=%s,key=%s", fullMethodName, user, key));
- //通过反射技术来获取注解对象
- Resubmit resubmit = method.getAnnotation(Resubmit.class);
- long timeout = resubmit.timeout();
- if (timeout < 0) {
- //过期时间10秒
- timeout = 2;
- }
- //获取key键对应的值
- String value = stringRedisTemplate.opsForValue().get(key);
- if (value != null && value.length() > 0) {
- return "请勿重复提交!";
- }
- //新增一个字符串类型的值,key是键,value是值。
- stringRedisTemplate.opsForValue().set(key, UUID.randomUUID().toString(), timeout, TimeUnit.MINUTES);
- //返回继续执行被拦截到的方法
- return point.proceed();
- }
- }
第三步:控制器
- @RestController
- public class DemoController {
- @Resubmit //自定义注解
- @GetMapping("/fun")
- public String fun() {
- System.out.println("fun");
- return "fun";
- }
- }
测试
第一次请求:
再次请求:
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/234520
推荐阅读
相关标签
