JSONP解决跨域问题,防止表单重复提交,防止XSS攻击

一.跨域问题:能够正常请求,但是没有办法获取到响应结果
解决方案一:设置请求头,在请求的资源中设置Access-Control-Allow-Origin请求头
//3.设置请求头
response.setHeader("Access-Control-Allow-Origin", "*");

二.JSONP解决跨域问题
普通的跨域访问问题,浏览器会进行拦截,凡是src属性的都不会拦截
ajax:http://www.a.com:8080/a/AServlet

JSONP实现原理:动态加载<script>标签,利用src属性进行服务器资源的访问,但是只支持Get请求
1.在我们的Ajax请求当中,需要以JSONP方式请求(通过jquery手段,动态生成sript)

jsonp:"代表的时前台传给后台,后台再传递给你 jsonpCallBack"

2.再AJAX请求当中需要将返回的数据格式指定为jsonp

dataType:"JSONP"

3.JSONP需要以Get请求发送 ?username=zhangsan

4.后台需要做的事情:
1.正常接收数据

2.返回数据

前台传递过来的jsonp需要原路返回

String jsonp=request.getP("jsonpCallBack");

需要将返回的数据转换为JSON success

response.getWirter.write(jsonp+"("+返回的数据JSON+")");

解决方案:
修改Ajax请求:
$("#button").click(function () {
//获取到文本框的值
var username=$("#username").val();
//发送Ajax请求www.a.com的A工程
$.ajax({
url:"http://www.a.com:8080/a/AServlet?username="+username,
type:"GET",
jsonp:"jsonpCallBack", //回调函数
dataType:"JSONP",
success:function (result) {
alert(result);
},
error:function () {
alert(‘系统错误~‘)
}
});
});

更改后台请求,需要将JSONP原路返回
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//1.接受数据
String username=request.getParameter("username");
System.out.println("接受的数据:"+username);

//接受Ajax传递的数据
String jsonpCallBack = request.getParameter("jsonpCallBack");
System.out.println("jsonpCallBack:"+jsonpCallBack);

String success = JSON.toJSONString("success");
//2.响应结果,数据必须为JSON格式
response.getWriter().write(jsonpCallBack+"("+success+")");
//3.设置请求头
/*response.setHeader("Access-Control-Allow-Origin", "*");*/
}
三.使用HTTPClient解决:就是不通过浏览器发送请求
B工程的页面发送的Ajax没有办法请求到A工程,因为浏览器会拦截,走后台,后台通过HTTPClient请求请求到A工程,获取到响应结果

1.B工程的Bindex.jsp页面请求到B工程的Servlet
$("#button").click(function () {
//获取到文本框的值
var username=$("#username").val();
//发送Ajax请求www.a.com的A工程
$.ajax({
url:"BServlet?username="+username,
type:"GET",
success:function (result) {
alert(result);
},
error:function () {
alert(‘系统错误~‘)
}
});
});
2.B工程的BServlet去模拟HTTP请求到A工程
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//内部通过HTTPClient进行转发
//构建一个连接
CloseableHttpClient client = HttpClients.createDefault();
//构建请求
HttpGet get=new HttpGet("http://www.a.com:8080/a/AServlet?username="+request.getParameter("username"));
//发送请求
CloseableHttpResponse httpResponse = client.execute(get);
//获取返回结果
String result = EntityUtils.toString(httpResponse.getEntity());
//将A工程响应结果给页面
response.getWriter().write(result);

}
3.A工程处理请求
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//1.接受数据
String username=request.getParameter("username");
System.out.println("接受的数据:"+username);

//2.响应结果
response.getWriter().write("success");

}

二.防止表单重复提交
1.网络延迟,再网络延迟时间内,频繁的提交表单
只能提交一次,监控表单的提交事件,通过一个boolean类型的变量来区分已经点击过还是没有点击,如果已经点击过,表单就不提交,没有点击过再提交

2.重新加载或者后退页面
思路如下:在我访问登录页面的时候,创建一个 Token令牌(当作一个标识) ,保存到session当中,然后再表单提交的时候将令牌一起提交
后台Servlet去判断session当中的令牌和表单提交的令牌是否相等,如果相等代表正常提交(session清空),如果不相等,代表非正常提交

Form.jsp页面
<body>
<form action="FormServlet" onsubmit="return formSubmit()" method="post">
<input type="hidden" id="hiddenToken" name="formToken"/>
<input type="text" name="username"/>
<input type="submit" value="提交"/>
</form>
</body>

<script type="text/javascript">
//创建一个变量 false代表没有点击过,true代表已经点击过
var flag=false;
function formSubmit() {
if(!flag){ //取反值为false
flag=true;
return true;
}else {
return false;
}
}

$(function () {
//生成令牌
$.ajax({
url:"TokenServlet",
type:"POST",
success:function (token) {
$("#hiddenToken").val(token);
}
})
})
</script>

TokenServlet:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//生成令牌
String token = UUID.randomUUID().toString();
//令牌保存到session当中
request.getSession().setAttribute("sessionToken",token);
//响应
response.getWriter().write(token);
}

FormServlet:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//验证令牌
//获取页面提交的隐藏域数据
String formToken = request.getParameter("formToken");
//获取Session中的Token
String sessionToken = (String)request.getSession().getAttribute("sessionToken");
//如果页面中获取的和session中不一致,代表已经提交过了,不要重复提交
if(!formToken.equals(sessionToken)){
response.getWriter().write("不要重复提交~");
return;
}

//接收数据
String username = request.getParameter("username");
System.out.println("接收的数据为:"+username);
//必须将token清空,不然永远是一致的
request.getSession().removeAttribute("sessionToken");

try {
//模拟网络延迟
Thread.sleep(300);
} catch (InterruptedException e) {
e.printStackTrace();
}
//返回数据
response.getWriter().write("success");
}

三.防止XSS攻击:大部分浏览器都已经解决了该问题
脚本注入
防止XSS攻击:后台创建Filter过滤器,过滤所植入的脚本数据<script>,使用正则表达式匹配提交数据的格式

原文地址:https://www.cnblogs.com/rzbwyj/p/12273836.html

时间: 2024-10-11 22:40:47

JSONP解决跨域问题,防止表单重复提交,防止XSS攻击的相关文章

跨域与防止表单重复提交

什么是跨域? 跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,这里跨域是广义的. 广义的跨域: 1.) 资源跳转: A链接.重定向.表单提交 2.) 资源嵌入: <link>.<script>.<img>.<frame>等dom标签,还有样式中background:url().@font-face()等文件外链 3.) 脚本请求: js发起的ajax请求.dom和js对象的跨域操作等 其实我们通常所说的跨域是狭义的,是由浏览器同源策略限制的一类请求场

跨域,防止表单重复提交

跨域1 <body> <input type="text" name="uname" id="uname"/> <input type="button" value="提交" id="button"/> </body> <script type="text/javascript" src="js/jque

HTTP(“跨域问题”和“防止表单重复提交”)

一.跨域问题 能够正常请求,但是没有办法获取到响应结果 解决方案一:设置请求头,在请求的资源中设置Access-Control-Allow-Origin请求头 //3.设置请求头 response.setHeader("Access-Control-Allow-Origin", "*"); 解决方案二:.JSONP解决跨域问题 普通的跨域访问问题,浏览器会进行拦截,凡是src属性的都不会拦截 ajax:http://www.a.com:8080/a/AServlet

[原创]java WEB学习笔记34:Session 案例 之 解决表单重复提交

本博客为原创:综合 尚硅谷(http://www.atguigu.com)的系统教程(深表感谢)和 网络上的现有资源(博客,文档,图书等),资源的出处我会标明 本博客的目的:①总结自己的学习过程,相当于学习笔记 ②将自己的经验分享给大家,相互学习,互相交流,不可商用 内容难免出现问题,欢迎指正,交流,探讨,可以留言,也可以通过以下方式联系. 本人互联网技术爱好者,互联网技术发烧友 微博:伊直都在0221 QQ:951226918 ---------------------------------

Struts2中解决表单重复提交

3. 表单的重复提交问题 1). 什么是表单的重复提交 > 在不刷新表单页面的前提下:  >> 多次点击提交按钮 >> 已经提交成功, 按 "回退" 之后, 再点击 "提交按钮". >> 在控制器响应页面的形式为转发情况下,若已经提交成功, 然后点击 "刷新(F5)" > 注意: >> 若刷新表单页面, 再提交表单不算重复提交 >> 若使用的是 redirect 的响应类型,

常见表单重复提交问题整理及解决方法

常见表单重复提交问题整理及解决方法 一.常见的重复提交问题 a>点击提交按钮两次. b>点击刷新按钮. c>使用浏览器后退按钮重复之前的操作,导致重复提交表单. d>使用浏览器历史记录重复提交表单. e>浏览器重复的HTTP请求. 二.防止表单重复提交的方法 a>禁掉提交按钮.表单提交后disabled现在的按钮或者取消该按钮的点击事件或者默认事件.这种方法防止心急的用户多次点击按钮.但有个问题,如果在客户端把Javascript给禁止掉,这种方法就无效了,当然现代的w

JavaWeb学习总结(十一):Session解决form表单重复提交

在平时开发中,如果网速比较慢的情况下,用户提交表单后,发现服务器半天都没有响应,那么用户可能会以为是自己没有提交表单,就会再点击提交按钮重复提交表单,我们在开发中必须防止表单重复提交. 一.表单重复提交的常见应用场景 有如下的form.jsp页面 1 <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> 2 <!DOCTYPE HTML>

php 解决和避免form表单重复提交的方法

在提交表单的时候,可能遇到网速等导致页面突然加载变慢,用户重复地点击提交按钮,将在数据库产生多条数据,导致不可控情况. 比如下面的情况就会导致表单重复提交: 点击提交按钮两次. 点击刷新按钮. 使用浏览器后退按钮重复之前的操作,导致重复提交表单. 使用浏览器历史记录重复提交表单. 浏览器重复的HTTP请求. 网页被恶意刷新. 下面是几种解决的方法: 一:利用js设置按钮点击后变成灰色 $(document).ready(function(){ $(input:submit).click(){ s

php解决表单重复提交

php解决表单重复提交时间:2015-2-28 | 评论:1条评论 | 被查看了 189 次 | 标签:php, W3cui重复提交是我们开发中会常碰到的一个问题,除了我们使用js来防止表单的重复提交,同时还可以使用php来防止重复提交哦.<?php/** php中如何防止表单的重复提交*/session_start();if (empty($_SESSION['ip'])) {//第一次写入操作,判断是否记录了IP地址,以此知道是否要写入数据库$_SESSION['ip'] = $_SERVE