背景与介绍:
平时开发的项目中可能会出现下面这些情况:
- 由于用户误操作,多次点击表单提交按钮。
- 由于网速等原因造成页面卡顿,用户重复刷新提交页面。
- 黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。
这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。
解决方案
通过JavaScript屏蔽提交按钮(不推荐)
<script type="text/javascript">
//默认提交状态为false
var flag= false;
function dosubmit(){
if(commitStatus==false){
//提交表单后,讲提交状态改为true
flag= true;
return true;
}else{
return false;
}
}
</script>
通过js代码,当用户点击提交按钮后,屏蔽提交按钮使用户无法点击提交按钮或点击无效,从而实现防止表单重复提交.
问题:
js代码很容易被绕过。比如用户通过刷新页面方式,或使用postman等工具绕过前段页面仍能重复提交表单。因此不推荐此方法。
给数据库增加唯一键约束(简单粗暴)
在数据库建表的时候在ID字段添加主键约束,邮箱、电话、身份信息等字段加唯一性约束。确保数据库只可以添加一条数据。
数据库加唯一性约束sql:
alter table user add unique key phone(field1, field2)
服务器及时捕捉插入数据异常:
try {
UserMapper.insert(user);
} catch (DuplicateKeyException e) {
logger.error("user already exist");
}
通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单(攻击网站),服务器大量执行sql插入语句,增加服务器和数据库负荷。
利用Session防止表单重复提交(推荐)
实现原理:
- 服务器跳转表单页面时,会先生成一个subToken保存于session,并把该subToen传给表单页面。
- 当表单提交时会带上subToken,服务器拦截器Interceptor会拦截该请求,拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。
- 首次提交表单时session的subToken与表单携带的subToken一致走正常流程,然后拦截器内会删除session保存的subToken。当再次提交表单时由于session的subToken为空则不通过。从而实现了防止表单重复提交。
使用:
mvc配置文件加入拦截器配置
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**"/>
<bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
</mvc:interceptor>
</mvc:interceptors>
拦截器
public class AvoidDuplicateSubmissionInterceptor extends
HandlerInterceptorAdapter {
public AvoidDuplicateSubmissionInterceptor() {
}
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
if (handler instanceof HandlerMethod) {
HandlerMethod handlerMethod = (HandlerMethod) handler;
Method method = handlerMethod.getMethod();
SubToken annotation = method
.getAnnotation(SubToken.class);
if (annotation != null) {
boolean needSaveSession = annotation.saveToken();
if (needSaveSession) {
request.getSession(false)
.setAttribute(
"subToken",
TokenProcessor.getInstance().generateToken(
request));
}
boolean needRemoveSession = annotation.removeToken();
if (needRemoveSession) {
if (isRepeatSubmit(request)) {
return false;
}
request.getSession(false).removeAttribute("subToken");
}
}
}
return true;
}
private boolean isRepeatSubmit(HttpServletRequest request) {
String serverToken = (String) request.getSession(false).getAttribute(
"subToken");
if (serverToken == null) {
return true;
}
String clinetToken = request.getParameter("subToken");
if (clinetToken == null) {
return true;
}
if (!serverToken.equals(clinetToken)) {
return true;
}
return false;
}
}
Spring MVC提供的org.springframework.web.servlet.handler.HandlerInterceptorAdapter这个适配器,继承此类,可以非常方便的实现自己的拦截器
preHandle:在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制等处理;
postHandle:在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView;
afterCompletion:在DispatcherServlet完全处理完请求后被调用,可用于清理资源等。返回处理(已经渲染了页面),可以根据ex是否为null判断是否发生了异常,进行日志记录;
使用AOP自定义切入实现(推荐)
实现原理:
- @Aspect 声明当前类是一个切面
- 定义切点表达式@Pointcut(“execution(* com.supplier.controller..(…))”)
表达式对应需要AOP切面方法(表单提交方法)。 - 定义通知类型@Before,前置通知
- 通知+切点@Before注解的方法实为通知(定义了增强),value=切点(aspectService)
每次提交表单时,Aspect都会保存当前key到reids(须设置过期时间)。
重复提交时Aspect会判断当前redis是否有该key,若有则拦截。
/**
* AOP 拦截通过切点表达式拦截所有controller访问,判断是否重复提交表单
*
* @Aspect 声明当前类是一个切面
*
* @author 张江丰
*
*/
@Aspect
@Component
public class SellerAuthorizeAspect {
@Autowired
private RedisUtil redisUtil;
private static final Log logger = LogFactory.getLog(SellerAuthorizeAspect.class);
/**
* 第一个*是切点方法的返回值类型、第二个*是controller包下所有的controller、后面是controller里以user开头的所有方法(无论方法里面有没有参数)
**/
@Pointcut("execution(*com.springboot.agriculture.controller..*.user*(..))")
public void aspectService() {
}
/**
* @Before注解的方法实为通知(定义了增强),value=切点(aspectService)
*/
@Before(value = "aspectService()")
public void before() throws ServletException, IOException {
// 获取request、response、session
ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder
.getRequestAttributes();
HttpServletRequest request = requestAttributes.getRequest();
//每次拦截当前用户提交数据,判断请求在redis是否存在,
if(redisUtil.hasKey(user)){
存在拦截
}else{
不存在提交表单
//提交表单,保存用户信息(key)和方法名(value),设置过期时间到redis
}
}
}