利用Session防止表单重复提交 -

jayluns

浏览: 143989 次
性别:
来自: 广州

最近访客更多访客>>

ymgjava

czldl

jerrycong

q87742235

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

利用Session防止表单重复提交

博客分类：

J2EE

servlet session java

为什么需要防止表单重复提交呢?

重复提交不仅仅是验证的问题，有时候可能会出现重复执行业务逻辑。

比如你买东西付款，如果不禁制重复提交，用户心急点两次，或者误操作点两次，

结果扣两次钱，那这个网站还不得立刻死翘翘。
重复提交更多的时候是为了安全来。
-----:
1）包含有Form表单得页面必须通过一个服务器程序动态生成，服务器程序为每次产生得页面中的form表单都分配一个唯一得随机标识号，并在form表单得一个隐藏域保存

（2）当用户提交form得时候，负责接受这一请求得服务器程序比较form表单隐藏字段中的标识号与存贮在session中的是否相同，当下列情情况时候，服务器程序将忽略提交请求：

      a.当前用户session不存在表单标识
      b.用户提交得表单数据并没有标识号字段
      c.存贮在当前用户的session中得标识号与表单数据中的不同

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;


public class TokenProcessor {
   private long privious;//上次生成表单标识号得时间值
   private static TokenProcessor instance=new TokenProcessor();
   public static String FORM_TOKEN_KEY="FORM_TOKEN_KEY";
   private TokenProcessor(){
       
   }
   public static TokenProcessor getInstance(){
       return instance;
   }
   /*
    * 验证请求中得标识号是否有效，如果请求中的表单标识与当前用户session中的相同，返回结果true=
    */
   public synchronized boolean isTokenValid(HttpServletRequest request){
       //未避免session对象不存在时候创建Session对象
       HttpSession session=request.getSession(false);
       if(session==null){return false;}
       String saved=(String)session.getAttribute(FORM_TOKEN_KEY);
       if(saved==null){
           return false;
       }
       String token=(String)request.getParameter(FORM_TOKEN_KEY);
       if(token==null){
           return false;
       }
       return saved.equals(token);//直接返回是否和浏览器页面是同一个token
   }
   
   /*
    * 清除存储在当前用户session中的表单标识号
    */
   public synchronized void reset(HttpServletRequest request){
       HttpSession session=request.getSession(false);
       if(session==null){
           return;
       }
       session.removeAttribute(FORM_TOKEN_KEY);
   }
   
   /*
    * 产生表单标识号并将之保存在当前用户得session中
    */
   
   public synchronized void saveToken(HttpServletRequest request){
       HttpSession session=request.getSession();
       try {
        byte id[]=session.getId().getBytes();
        long current=System.currentTimeMillis();
        if(current==privious){
            current++;
        }
        privious=current;
        byte now[]=String.valueOf(current).getBytes();
        MessageDigest md=MessageDigest.getInstance("MD5");
        md.update(id);
        md.update(now);
        String token=toHex(md.digest());
        session.setAttribute(FORM_TOKEN_KEY, token);
      } catch (NoSuchAlgorithmException e) {
        
      }
   }
   /*
    * 将一个字节数转换成十六进制得字符串
    * 
    */
   public String toHex(byte buffer[]){
       StringBuffer sb=new StringBuffer(buffer.length*2);
       for (int i = 0; i < buffer.length; i++) {
        sb.append(Character.forDigit((buffer[i]&0x60)>>4, 16));
        sb.append(Character.forDigit(buffer[i]&0x0f, 16));
    }
       return sb.toString();
       
   }
}

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


public class FormDoubleServlet extends HttpServlet {

    //提交的时候访问的servlet
    protected void service(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType("text/html;charset=gb2312");
        PrintWriter out=response.getWriter();
        TokenProcessor tokemProcessor=TokenProcessor.getInstance();
        if(!tokemProcessor.isTokenValid(request)){
            out.println("重复提交");
        }
        String p1=request.getParameter("p");
        if(p1==null||p1.trim().equals("")){
            out.println("请输入内容");
        }else{
            out.println("提交内容被处理");
            tokemProcessor.reset(request);//清除session中的标识
        }
        
    }
   
}

<%@ page contentType="text/html; charset=GBK"%>

<%
    TokenProcessor tokemProcessor=TokenProcessor.getInstance();
        tokemProcessor.saveToken(request);
    String token=(String)request.getSession().getAttribute(tokemProcessor.FORM_TOKEN_KEY);
 %>
<html>
    <head>
        <title>用户登陆</title>
    </head>
    <body>
        <form action="/testServlet" method="post">
          <input name="<%=tokemProcessor.FORM_TOKEN_KEY %>" value="<%=token %>">
          <input name="q"/>
          
          <input type="submit" value="submit"/>
        </form>
    </body>
</html>

分享到：

如何在struts+spring+hibernate的框架下构 ... | RedHat9.0下安装Oracle9i

2012-07-20 10:01
浏览 3053
评论(0)
分类:Web前端
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

利用Session防止表单重复提交

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

利用Session防止表单重复提交

评论

发表评论

相关推荐

12306模型设计探讨

Dubbo与Zookeeper、SpringMVC整合

TCP/IP，http，socket，长连接，短连接

移动互联网App客户端服务端通信安全问题。

前后端分离开发部署模式

Jenkins + Git + Maven + tomcat集成环境(转)

Apache Commons(转)

Cron 常用表达式

httpSession的正确理解

图片码

jnlp

Spring Quartz 调度与Jdk Timer

Dozer 深层次复制

使用FreeMarker生成java代码

最近访客更多访客>>