如何防止多次提交和重复刷新
来源:互联网 发布:不用网络的导航 编辑:程序博客网 时间:2024/05/16 19:30
多次提交和重复刷新是web程序中容易被忽视但是却很重要的地方。比如一段程序在提交后就会转账,如果没做任何处理,用户多次刷新就会造成多次实际的转账发生,这样的程序是不能接受的。
对于多次提交问题。可以针对终端用户分为恶意的和非恶意的。
非恶意的多次提交,可以发生的场景如下:
1. 响应太慢,用户不知道之前是否提交成功,于是再次提交
2. 用户无聊,连续随便点击
3. 用户提交过到新页面之后,又误操作回退到之前的页面,然后再次提交
恶意的多次提交,可以发生的场景如下:
4. 黑客写程序对网站进行刷新的提交
很自然想到解决方法一,只需要在点击之后前端让按钮disable就行了,但是显然对于误用和恶意的情况只靠前端防护是不行的。
于是解决方法二则是后端的防护,在进入提交页面时服务器端当前用户session中存放一个随机token,并将token传给客户端,在提交时客户端将这个token传到服务器比对这个token是否一致。如果一致表示是第一次提交,修改服务器端这个token并返回客户端;如果不一致说明是重复提交,拒绝客户请求。
而根据token存放的位置,又可以再划分为下面几种方式:
1. token放在cookie中返回,优点是对前端来说是透明的,浏览器会自动将cookie中的token附带到下一次请求;缺点是,这种方式能防止多次提交,但是不能防止CSRF。
2. token放在response的content返回,前端代码解析后放到request中的参数列表中(即GET方式);这种方式可能需要前端代码做额外的附加动作,但是可以适用于一些不能使用cookie的场合,而且防止了CSRF。
3. token放到表单中的hidden域(即POST方式),在提交后,后端根据表单中的token来解析,好处是,防止了CSRF攻击
参考:http://zhouwenjun.iteye.com/blog/796279
- 如何防止多次提交和重复刷新
- ASP轻松地实现了防止用户刷新多次提交表单和使用后退钮重复多次提交表单
- 如何防止重复提交表单刷新
- 防止刷新重复提交
- 防止用户不断刷新和重复提交
- 网络充值支付过程游戏公司如何防止由于页面多次刷新导致重复提交数据导致多次充值的问题
- JavaWeb防止重复提交,重复刷新和后退
- jsp防止刷新重复提交
- struts2 防止刷新重复提交
- 防止刷新重复提交表单
- 防止表单重复提交&刷新
- 如何防止重复提交
- JSP中如何防止页面刷新重复提交
- <转>如何防止页面刷新,后退导致的重复提交
- ajax防止多次点击重复提交
- js 防止表单多次重复提交
- ajax防止多次点击重复提交
- 防止表单多次提交,添加重复数据
- 推荐《Linux C编程一站式学习》,入门利器
- oracle ebs ---po
- 一个线程头文件
- XML中嵌入二进制数据的三种方式
- JSP页面跳转大全
- 如何防止多次提交和重复刷新
- 修改MYSQL密码
- Java使用net.sf.fjep.fatjar第三包打包成jar文件方法
- POJ 2449 第k长的最短路径
- 拉力赛路书
- 通过shape给控件添加边框
- VC 中CString 和SystemTime之间的转化
- ORACLE数据库查看执行计划的方法
- 各种保护壳易语言的sdk代码