struts2 token 使用说明

使用token标签的时候,Struts2会建立一个GUID(全局唯一的字符串)放在session中,并且会成为一个hidden放在form中。 
token拦截器会判断客户端form提交的token和session中保存的session是否equals。如果equals则执行Action。否则拦截器直接返回invaid.token结果,Action对应的方法也不会执行

struts.xml中配置

<action name="userRegister" class="UserRegisterAction"> <interceptor-ref name="defaultStack" /> <interceptor-ref name="token" /> <result name="invalid.token"> /jsp/service/power/login.jsp </result> <result name="success"> /jsp/service/power/login.jsp </result> <result name="fail"> /jsp/service/user/userRegister.jsp </result> </action>

使用<s:token>得到控制台提示信息:"Could not find token name in params“,后来发现原来是把<s:token>标签放在了<form>标签外面,导致出现以上问题。

<s:token>标签使用很简单,用以避免表单的重复提交,其原理是用户访问页面时,服务器产生一个令牌值一起发送给客户端。当这个页面被提交时,比较客户端和已经保存先前的令牌值,如果相等则清除令牌值,不相等表明表单已被提交,同时产生一个新令牌值,保存到session中。

step 1:在<form>标签里面定义标签<s:token/>

step 2:在struts.xml文件内配置token拦截器

<interceptor-ref name="token">

<param name="excludeMethods">....</param> //这里可以配置token拦截器的排队方法

</interceptor-ref>

<result name=“invaild.token">/***.jsp</result>

step 3:可在页面中添加<s:actionerror>显示重复提交信息

step 4:测试。提交页面后,单击刷新,就自动转到***.jsp

token 是在上一个action的执行方法后 会产生一个新的token放在session中 key 为“struts.token”  <s:token></s:token> 现实再页面的时候会生成俩个隐藏标签 一个叫struts.token.name  一个叫做是你struts.token.name  值作为name的隐藏标签,

提交到后台进行token 比对 不一样返回invaild.token

注:

1. 当使用token拦截器时,必须设置invalid.token的result,而使用tokenSession时,则不需要。

2. 使用token拦截器时,必须使用<s:token>标签,而且该标签必须包含在Form中。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

我在使用struts2 token的过程中,遇到了一个问题,用了很长时间才解决,特记录一下。

使用struts2 的 token,我的form表单不能实例化,为null ,

有个论坛上说的是使用<s:form>表单,修改后没有任何变化。

最后在http://hi.baidu.com/miatrzofgvcgjor/item/29d6ae07b93771c72e4c6b80上找到了解决方案。

如何使用struts2拦截器,或者自定义拦截器。特别注意,在使用拦截器的时候,在Action里面必须最后一定要引用struts2自带的拦截器缺省堆栈defaultStack,如下(这里我是引用了struts2自带的checkbox拦截器):

<interceptor-ref name="checkbox">
<param name="uncheckedValue">0</param>
</interceptor-ref>
<interceptor-ref name="defaultStack"/>
(必须加,否则出错)

我的Action配置如下,

<action name="lossRateAction!*"
   class="com.oarage.lossanalyse.exchange.action.LossRateAction"
   method="{1}">
   <interceptor-ref name="token">
    <param name="includeMethods">addLossRate</param>
   </interceptor-ref>
   <interceptor-ref name="defaultStack"/>
   <result name="list">
    /framepages/lossRate/LossRateList.jsp
   </result>
   <result name="initAddLossRate">
    /framepages/lossRate/LossRateAdd.jsp
   </result>
   <result name="initUpdateLossRate">
    /framepages/lossRate/LossRateUpdate.jsp
   </result>
  </action>

这样就可以正常使用了。记住,一定要添加上默认的拦截器。

时间: 2024-10-13 22:51:27

struts2 token 使用说明的相关文章

Struts2 token禁止重复提交表单

如果服务器响应慢的情况下,用户会重复提交多个表单,这时候有两种设计思想: 1.在客户端使用JS技术,禁止客户重复提交表单.但是这样会使一些不使用浏览器方式登陆的人比如使用底层通信来攻击你的服务器 2.在服务器端进行验证 Struts2设计了token标签来进行验证,在使用token时要注意,你点击两次之后,它会回到"invalid.tonken"那个页面,这时如果你使用回退的方式或者F5方式再次提交,会被拦截 使用token的方法: 1.在需要使用验证的的form标签里面,加入<

struts2 文件的上传下载 表单的重复提交 自定义拦截器

文件上传中表单的准备 要想使用 HTML 表单上传一个或多个文件 须把 HTML 表单的 enctype 属性设置为 multipart/form-data 须把 HTML 表单的method 属性设置为 post 需添加 <input type=“file”> 字段. Struts 对文件上传的支持 在 Struts 应用程序里, FileUpload 拦截器和 Jakarta Commons FileUpload 组件可以完成文件的上传. 步骤:1. 在 Jsp 页面的文件上传表单里使用

Struts2自定义拦截器

自定义拦截器 1). 具体步骤 I. 定义一个拦截器的类 > 可以实现 Interceptor 接口 > 继承 AbstractInterceptor 抽象类 II然后在拦截器类的interceptor()方法中定义这个拦截器的功能 III. 在 struts.xml 文件配置. 1注册拦截器 <interceptors> <interceptor name="hello" class="com.atguigu.struts2.intercept

Struts2中解决表单重复提交

3. 表单的重复提交问题 1). 什么是表单的重复提交 > 在不刷新表单页面的前提下:  >> 多次点击提交按钮 >> 已经提交成功, 按 "回退" 之后, 再点击 "提交按钮". >> 在控制器响应页面的形式为转发情况下,若已经提交成功, 然后点击 "刷新(F5)" > 注意: >> 若刷新表单页面, 再提交表单不算重复提交 >> 若使用的是 redirect 的响应类型,

Strut2 采用token机制防御CSRF同时也可以防止表单重复提交

一 未配置Struts2 token的情况下测试 1.从表单提交数据,可以从下图看出,快速点击保存按钮,请求提交了两次 2.检查post提交的数据中未含有token参数 3.查看数据列表,有重复数据 4.将刚才的请求由post请求转换为get请求(CSRF攻击),从下图可以看出请求成功 二 配置Struts2 token值后再次测试 1. 在工程中的Struts文件中配置token机制,针对新增与修改的form请求 2.在页面头部添加<%@ taglib uri="/struts-tags

Struts2初学习记录

以下笔记内容来自尚硅谷_Struts2_佟刚老师的视频教程+自己一点点整理 来源免责声明 一. 1. VS 自实现: 1). 搭建 Struts2 的开发环境 2). 不需要显式的定义 Filter, 而使用的是 struts2 的配置文件. 3). details.jsp 比先前变得简单了. 属性引用:${requestScope.product.productName} -> ${productName} 4). 步骤: I.  由 product-input.action 转到 /WEB-

CSRF 原理以及 Struts2 令牌校验防御攻略解析

struts2 token 不仅能够有效防止表单重复提交,而且还可以进行CSRF 验证.CSRF 攻击原理如下图: CSRF 攻击原理图 事实上,B 可能也是一个良性网站,只是被黑客 XSS 劫持了而已.用户实在冤枉啊:我没有上乱七八糟的网站,怎么还是中招了呢?struts2 token 校验原理如图所示: Struts2 token 验证原理图 对照 CSRF 攻击原理图,可以看到,虽然 a.jsp 将这个令牌值返回给浏览器,但是 B 是无法拿到这个令牌的具体值的,或者说 B 只能够通过去请求

利用struts2&lt;s:token&gt;标签防止用户重复提交

当用户填写完表单后,在提交过一次后,若用户做如下操作比如再次点击提交.刷新页面.提交页面呈现后点击后退按钮,都会导致表单重复提交.如果信息需要存储到后台数据库中,重复提交就会再次向数据库中插入用户信息,显然这样是不对的.解决方式有两种 (一)Session Token机制 当用户首次访问包含表单的页面时,此时服务器会做三件事 1)创建一个session对象, 2)通过解析<s:token>标签(编程时此标签在要加入表单页面中)会产生一个随机数(可以将其称为盾牌,注意这个不是session ID

struts2 自带的 token防止表单重复提交拦截器

在struts2中,我们可以利用struts2自带的token拦截器轻松实现防止表单重复提交功能! 1. 在相应的action配置中增加:  <interceptor-ref name="token"></interceptor-ref> <result name="invalid.token">/error.jsp</result> 2. 增加error.jsp文件,代码如下:  <h1>禁止重复提交&l