HttpSession解决表单的重复提交

1). 重复提交的情况:

①. 在表单提交到一个 Servlet, 而 Servlet 又通过请求转发的方式响应一个 JSP(HTML) 页面,
此时地址栏还保留着 Serlvet 的那个路径, 在响应页面点击 "刷新"
②. 在响应页面没有到达时重复点击 "提交按钮".
③. 点击 "返回", 再点击 "提交"

2). 不是重复提交的情况:

点击 "返回", "刷新" 原表单页面, 再 "提交"。

3). 如何避免表单的重复提交:

在表单中做一个标记, 提交到 Servlet 时, 检查标记是否存在且是否和预定义的标记一致, 若一致, 则受理请求,
并销毁标记, 若不一致或没有标记, 则直接响应提示信息: "重复提交"

①.调用 RequestDispatcher.forward() 方法,浏览器所保留的URL 是先前的表单提交的 URL,此时点击”刷新”, 浏览器将再次提交用户先前输入的数据,引起重复提交;如果采用 HttpServletResponse.sendRedirct() 方法将客户端重定向到成功页面,将不会出现重复提交问题

②.利用Session对表单进行token标识

  1. 在原表单页面, 生成一个随机值 token
  2. 在原表单页面, 把 token 值放入 session 属性中
  3. 在原表单页面, 把 token 值放入到 隐藏域 中.
  4. 在目标的 Servlet 中: 获取 session 和 隐藏域 中的 token 值
  5. 比较两个值是否一致: 若一致, 受理请求, 且把 session 域中的 token 属性清除
  6. 若不一致, 则直接响应提示页面: "重复提交"

表单页面

<%@ page import="java.util.Date" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
<%
    //随机生成一个标识
    String tokenValue = new Date().getTime()+"";
    session.setAttribute("token",tokenValue);
%>
<form action="<%=request.getContextPath()%>/tokenServlet" method="post">
    <input  type="hidden"  name="tokenValue" value=<%=tokenValue%> />
    Username:<input  type="text" name="username"/>
    <input type="submit" value="登录"/>
</form>
</body>
</html>    

TokenServlet.java

package yang.mybatis.servlet.token;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * Created by yangshijing on 2017/11/22 0022.
 */
public class TokenServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request,response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //模仿后台延时
        try {
            Thread.sleep(300);
        } catch (InterruptedException e) {
            e.printStackTrace();
        }
        HttpSession session = request.getSession();
        //从Session域中获得标识
        String token = (String)session.getAttribute("token");
        //从表单隐藏域中获取token value
        String tokenValue = request.getParameter("tokenValue");
        //如果标识不为空且隐藏域中值和Session域中的值一致,则处理该表单请求
        if(token != null && tokenValue.equals(token)){
            session.removeAttribute("token");
        }else{
            response.sendRedirect(request.getContextPath()+"/jsp/token/token.jsp");
            return;
        }
        request.getRequestDispatcher("/jsp/token/success.jsp").forward(request,response);
    }
}

TokenProcessor.java

用于管理表单标识号的工具类,它主要用于产生、比较和清除存储在当前用户Session中的表单标识号。为了保证表单标识号的唯一性,每次将当前SessionID和系统时间的组合值按MD5算法计算的结果作为表单标识号,并且将TokenProcessor类设计为单例类

package yang.mybatis.servlet.token;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
/**
 * Created by yangshijing on 2017/11/23 0023.
 */
public class TokenProcessor {
    //表单隐藏域的name属性值
    private static final String TOKEN_KEY = "TOKEN_KEY";
    //Session域中的属性值
    private static final String TRANSACTION_TOKEN_KEY = "TRANSACTION_TOKEN_KEY";

    private static TokenProcessor instance = new TokenProcessor();

    private long previous;

    protected TokenProcessor() {
        super();
    }
    //单例模式
    public static TokenProcessor getInstance() {
        return instance;
    }
    //判断表单提交请求是否重复
    public synchronized boolean isTokenValid(HttpServletRequest request) {
        HttpSession session = request.getSession(false);

        if (session == null) {
            return false;
        }
        //从Session域中获取标识值
        String saved = (String) session.getAttribute(TRANSACTION_TOKEN_KEY);

        if (saved == null) {
            return false;
        }

        String token = request.getParameter(TOKEN_KEY);

        if (token == null) {
            return false;
        }

        return saved.equals(token);
    }
    //移除Session域中的token
    public synchronized void resetToken(HttpServletRequest request) {
        HttpSession session = request.getSession(false);

        if (session == null) {
            return;
        }

        session.removeAttribute(TRANSACTION_TOKEN_KEY);
    }
    //将token保存到Session域中并返回token
    public synchronized String saveToken(HttpServletRequest request) {
        HttpSession session = request.getSession();
        String token = generateToken(request);

        if (token != null) {
            session.setAttribute(TRANSACTION_TOKEN_KEY, token);
        }

        return token;
    }

    public synchronized String generateToken(HttpServletRequest request) {
        HttpSession session = request.getSession();

        return generateToken(session.getId());
    }

    public synchronized String generateToken(String id) {
        try {
            long current = System.currentTimeMillis();

            if (current == previous) {
                current++;
            }

            previous = current;

            byte[] now = new Long(current).toString().getBytes();
            MessageDigest md = MessageDigest.getInstance("MD5");

            md.update(id.getBytes());
            md.update(now);

            return toHex(md.digest());
        } catch (NoSuchAlgorithmException e) {
            return null;
        }
    }

    private String toHex(byte[] buffer) {
        StringBuffer sb = new StringBuffer(buffer.length * 2);

        for (int i = 0; i < buffer.length; i++) {
            sb.append(Character.forDigit((buffer[i] & 0xf0) >> 4, 16));
            sb.append(Character.forDigit(buffer[i] & 0x0f, 16));
        }

        return sb.toString();
    }
}

重构的index.jsp

<%@ page import="java.util.Date" %>
<%@ page import="yang.mybatis.servlet.token.TokenProcessor" %>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
<%--<%
    String tokenValue = new Date().getTime()+"";
    session.setAttribute("token",tokenValue);
%>--%>
<form action="<%=request.getContextPath()%>/tokenServlet" method="post">
    <input  type="hidden"  name="TOKEN_KEY" value=<%=TokenProcessor.getInstance().saveToken(request)%> />
    Username:<input  type="text" name="username"/>
    <input type="submit" value="登录"/>
</form>
</body>
</html>

重构的TokenServlet

package yang.mybatis.servlet.token;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

/**
 * Created by yangshijing on 2017/11/22 0022.
 */
public class TokenServlet extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doGet(request,response);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //模仿后台延时
        try {
            Thread.sleep(300);
        } catch (InterruptedException e) {
            e.printStackTrace();
        }
     /*   HttpSession session = request.getSession();
        //从Session域中获得标识
        String token = (String)session.getAttribute("token");
        //从表单隐藏域中获取token value
        String tokenValue = request.getParameter("tokenValue");
        //如果标识不为空且隐藏域中值和Session域中的值一致,则处理该表单请求
        if(token != null && tokenValue.equals(token)){
            session.removeAttribute("token");
        }else{
            response.sendRedirect(request.getContextPath()+"/jsp/token/token.jsp");
            return;
        }
        request.getRequestDispatcher("/jsp/token/success.jsp").forward(request,response);*/
        boolean tokenValid = TokenProcessor.getInstance().isTokenValid(request);
        //如果不是重复的表单请求,移除token并处理请求
        if(tokenValid){
            TokenProcessor.getInstance().resetToken(request);
        }else {
            //重复的表单请求,结束方法,并重定向到提示页面
            response.sendRedirect(request.getContextPath()+"/jsp/token/token.jsp");
            return;
        }
        response.sendRedirect(request.getContextPath()+"/jsp/token/success.jsp");
    }
}
时间: 2024-10-05 05:06:54

HttpSession解决表单的重复提交的相关文章

struts2 文件的上传下载 表单的重复提交 自定义拦截器

文件上传中表单的准备 要想使用 HTML 表单上传一个或多个文件 须把 HTML 表单的 enctype 属性设置为 multipart/form-data 须把 HTML 表单的method 属性设置为 post 需添加 <input type=“file”> 字段. Struts 对文件上传的支持 在 Struts 应用程序里, FileUpload 拦截器和 Jakarta Commons FileUpload 组件可以完成文件的上传. 步骤:1. 在 Jsp 页面的文件上传表单里使用

关于防止表单表达重复提交的几个解决方法

表达重复提交的问题,是B/S系统开发中经常容易被忽视,但常常又令程序员头疼的一个问题.根据墨菲定律,如果你不做防止重复提交的机制,那些用户行为往往就会给你带来麻烦,然后就等着产品经理的抱怨吧.下面,我就总结了几条常见的关于B/S系统中防止表单重复提交的几个办法: 1.页面上控制.怕用户点击提交按钮2次?用javascript控制下吧:怕用户后退导致重复提交?那就干脆打开个新页面吧.总之你要设想到用户在页面上的所有可能的操作,把这些容易导致BUG的操作消灭的萌芽中. 2.session控制.如果实

表单防重复提交

防止表单重复提交 介绍了使用 redirect 技术防止表单提交,但是 redirect 解决不了后退到表单页面时重复提交表单,为了解决这个问题,加入了 token 的机制.如果每个 form 相关的处理方法中都写一遍 token 的生成和校验代码,在实际项目中是不太能接受的,接下来介绍了使用拦截器的方式生成和校验 token. 1. 常规防止表单重复提交流程: GET 访问表单页面 填写表单 POST 提交表单 Server 端处理表单数据,例如把数据写入数据库 重定向到另一个页面,防止用户刷

表单的重复提交,解决方案

表单的重复提交,解决方案: 第一种情况:在提交表单时,如果网速较差,可能会导致点击提交按钮多次: - 解决方法:点击提交按钮之后,使按钮不可用.通过js完成: <script type="text/javascript"> window.onload = function(){ //获取按钮的对象 var btn = document.getElementById("btn"); //为按钮绑定单击响应函数 btn.onclick = function(

如何防止表单的重复提交

表单重复提交是在多用户Web应用中最常见.带来很多麻烦的一个问题.有很多的应用场景都会遇到重复提交问题,比如: (1)点击提交按钮两次. (2)点击刷新按钮. (3)使用浏览器后退按钮重复之前的操作,导致重复提交表单. (4)使用浏览器历史记录重复提交表单. (5)浏览器重复的HTTP请求. (6)用户提交表单时可能因为网速的原因,或者网页被恶意刷新,致使同一条记录重复插入到数据库中,这是一个比较棘手的问题.我们可以从客户端和服务器端一起着手,设法避免同一表单的重复提交. 参考博客: https

防止表单的重复提交

场景有三种: 1:在网络延迟的情况下让用户有时间点击多次submit导致重复提交 2:表单提交后点击"刷新"按钮导致重复提交 3:提交后,点击浏览器的后退然后再次提交 解决的思路有常用的几种: 1.通过JS,提交表单之后将按钮设置为不可用. <script type="text/javascript">        var isCommitted = false;//表单是否已经提交标识,默认为false        function dosubmi

structs2 防止表单的重复提交token

一.简介 Struts2使用token拦截器来检查表单是否重复提交,采用的是同步令牌的方式. 同步令牌方式:服务器端在处理到达的请求之前,会将请求中包含的令牌值与保存在当前用户会话中的令牌值进行比较,看是否匹配.在处理完该请求后,且在答复发送给客户端之前,将会产生一个新的令牌,该令牌除传给客户端以外,也会将用户会话中保存的旧的令牌进行替换.这样如果用户回退到刚才的提交页面并再次提交的话,客户端传过来的令牌就和服务器端的令牌不一致,从而有效地防止了重复提交的发生. 实现方法: 1)token to

struts2 防止表单的重复提交

防止表单重复提交(拦截器) 1.回顾之前的解决办法: 2.Struts2中的解决办法: 2.1.使用重定向 <result type="redirect">/success.jsp</result> 遗留的问题:防不住后退,再提交. 2.2.使用<s:token/>生成令牌配合token拦截器 1 <%@ page language="java" import="java.util.*" pageEnco

js 防止表单异步重复提交

<form id="formData" method="post" action="${pageContext.request.contextPath }/save"> <input type="button" value="确认提交" class="tj-btn" id="tj"> </form> <script type=