防止表单重复提交的 4 种方法

摘要:平时开发的项目中可能会出现下面这些情况:由于用户误操作,多次点击表单提交按钮;由于网速等原因造成页面卡顿,用户重复刷新提交页面;黑客或恶意用户使用 Postman 等工具重复恶意提交表单(攻击网站)。

平时开发的项目中可能会出现下面这些情况:

  • 由于网络延迟或用户误操作,用户多次点击表单提交按钮;
  • 由于网速等原因造成页面卡顿,用户重复刷新提交页面;
  • 表单提交成功后,用户点击浏览器回退按钮,再次点击提交按钮;
  • 黑客或恶意用户使用 Postman 等工具重复恶意提交表单(攻击网站)。

这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机,因此有效防止表单重复提交有一定的必要性。

解决方案

通过 JavaScript 屏蔽提交按钮(不推荐)

通过 JS 代码,当用户点击提交按钮后,屏蔽提交按钮使用户无法点击提交按钮或点击无效,从而实现防止表单重复提交。

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML>
<html>
  <head>
    <title>表单</title>
    <script type="text/javascript">
      // 默认提交状态为 false
      var commitStatus = false;
      function dosubmit(){
        if(commitStatus==false){
          // 提交表单后,将提交状态改为 true
          commitStatus = true;
          return true;
        }else{
          return false;
        }
      }
    </script>
  </head>
  
  <body>
    <form action="/path/post" onsubmit="return dosubmit()" method="post">
      用户名:<input type="text" name="username">
      <input type="submit" value="提交" id="submit">
    </form>
  </body>
</html>

JS 代码很容易被绕过,比如用户通过刷新页面方式,或使用 Postman 等工具绕过前段页面仍能重复提交表单,因此不推荐此方法。

给数据库增加唯一键约束(简单粗暴)

在数据库建表的时候在 ID 字段添加主键约束,用户名、邮箱、电话等字段加唯一性约束,确保数据库只可以添加一条数据。

数据库加唯一性约束 SQL:

alter table tableName_xxx add unique key uniq_xxx(field1, field2)

服务器及时捕捉插入数据异常:

try {
    xxxMapper.insert(user);
} catch (DuplicateKeyException e) {
    logger.error("user already exist");
}

通过数据库加唯一键约束能有效避免数据库重复插入相同数据,但无法阻止恶意用户重复提交表单(攻击网站),服务器大量执行 SQL 插入语句,增加服务器和数据库负荷。

利用 Session 防止表单重复提交(推荐)

实现原理:

  • 客户端请求表单页,服务端返回时,会先生成一个 subToken,存储在当前用户的 Session(会话)中;
  • 同时把该 subToken 传送给客户端,客户端存储在 Form 表单的隐藏域中;
  • 客户端第一次提交表单,服务端拦截器 Interceptor 拦截该请求,判断 subToken 是否一致;
  • subToken 一致,拦截器 Interceptor 删除存储在 Session 的 subToken,提交表单成功;
  • 当客户端再次提交表单时,由于 Session 中的 subToken 为空,不通过请求,从而实现了防止表单重复提交。

使用:

mvc 配置文件加入拦截器配置

<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>

拦截器

package xxx.xxxx.interceptor;

import xxx.xxx.SubToken;
import org.apache.struts.util.TokenProcessor;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;

public class AvoidDuplicateSubmissionInterceptor extends
    HandlerInterceptorAdapter {
    public AvoidDuplicateSubmissionInterceptor() {
    }

    @Override
    public boolean preHandle(HttpServletRequest request,
        HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            SubToken annotation = method
            .getAnnotation(SubToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.saveToken();
                if (needSaveSession) {
                    request.getSession(false)
                    .setAttribute(
                        "subToken",
                        TokenProcessor.getInstance().generateToken(request)
                    );
                }

                boolean needRemoveSession = annotation.removeToken();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    request.getSession(false).removeAttribute("subToken");
                }
            }
        }
        return true;
    }

    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute("subToken");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("subToken");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}

控制层 controller

@RequestMapping("/form")
// 开启一个 Token
@SubToken(saveToken = true)
public String form() {
    return "/test/form";
}

@RequestMapping(value = "/postForm", method = RequestMethod.POST)
@ResponseBody
// 开启 Token 验证,并且成功之后移除当前 Token
@SubToken(removeToken = true)
public String postForm(String userName) {
    System.out.println(System.currentTimeMillis());
    try{
        System.out.println(userName);
        Thread.sleep(1500); // 暂停 1.5 秒后程序继续执行
    }catch (InterruptedException e) {
        e.printStackTrace();
    }
    System.out.println(System.currentTimeMillis());
    return "1";
}

表单页面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
  <head>
    <title>Title</title>
  </head>
  <body>
    <form method="post" action="/postForm">
      <input type="text" name="userName">
      <input type="hidden" name="subToken" value="${subToken}">
      <input type="submit" value="提交">
    </form>
  </body>
</html>

使用 AOP 自定义切入实现

实现原理:

  • 自定义防止重复提交标记(@AvoidRepeatableCommit);
  • 对需要防止重复提交的 Congtroller 里的 mapping 方法加上该注解;
  • 新增 Aspect 切入点,为 @AvoidRepeatableCommit 加入切入点;
  • 每次提交表单时,Aspect 都会保存当前 key 到 reids(须设置过期时间);
  • 重复提交时 Aspect 会判断当前 redis 是否有该 key,若有则拦截。

自定义标签

import java.lang.annotation.*;
		
/**
 * 避免重复提交
 * @author hhz
 * @version
 * @since
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AvoidRepeatableCommit {
		
/**
 * 指定时间内不可重复提交,单位毫秒
 * @return
 */
    long timeout()  default 30000 ;

}

自定义切入点 Aspect

/**
 * 重复提交aop
 * @author hhz
 * @version 
 * @since 
 */
@Aspect
@Component
public class AvoidRepeatableCommitAspect {
		
    @Autowired
    private RedisTemplate redisTemplate;
		
    /**
     * @param point
     */
    @Around("@annotation(com.xwolf.boot.annotation.AvoidRepeatableCommit)")
    public Object around(ProceedingJoinPoint point) throws Throwable {
		
        HttpServletRequest request  = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest();
        String ip = IPUtil.getIP(request);
        // 获取注解
        MethodSignature signature = (MethodSignature) point.getSignature();
        Method method = signature.getMethod();
        // 目标类、方法
        String className = method.getDeclaringClass().getName();
        String name = method.getName();
        String ipKey = String.format("%s#%s",className,name);
        int hashCode = Math.abs(ipKey.hashCode());
        String key = String.format("%s_%d",ip,hashCode);
        log.info("ipKey={},hashCode={},key={}",ipKey,hashCode,key);
        AvoidRepeatableCommit avoidRepeatableCommit =  method.getAnnotation(AvoidRepeatableCommit.class);
        long timeout = avoidRepeatableCommit.timeout();
        if (timeout < 0){
            // 过期时间 5 分钟
            timeout = 60*5;
        }
        String value = (String) redisTemplate.opsForValue().get(key);
        if (StringUtils.isNotBlank(value)){
            return "请勿重复提交";
        }
        redisTemplate.opsForValue().set(key, UUIDUtil.uuid(),timeout,TimeUnit.MILLISECONDS);
        // 执行方法
        Object object = point.proceed();
        return object;
    }	
}
版权声明:本文为博主原创文章,未经博主允许不得转载。http://www.dedenotes.com/html/form-submission.html
(1)
打赏 微信扫一扫 微信 支付宝 QQ 扫码打赏

防止表单重复提交的 4 种方法

Dedenotes 赞(3)

平时开发的项目中可能会出现下面这些情况:由于用户误操作,多次点击表单提交按钮;由于网速等原因造成页面卡顿,用户重复刷新提交页面;黑客或恶意用户使用 Postman 等工具重复恶意提交表单(攻击网站)。

meta

Dedenotes 赞(3)

meta 是 html 语言 head 区的一个辅助性标签,位于文档的头部,不包含任何内容,标签的属性定义了与文档相关联的名称/值对。meta 标签可提供相关页面的元信息(meta-information),比如针对搜索引擎和更新频度的描述和关键词。

HTTP消息结构 HTTP请求报文和响应报文的格式

Dedenotes 赞(3)

HTTP 协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,基于 TCP/IP 通信协议来传递数据(HTML 文件, 图片文件, 查询结果等),所有的 WWW(World Wide Web)文件都必须遵守这个标准。