JavaWeb学习(1) 使用Session和Token防止表单重复提交

前言

以前在很多p2p网站中,都有新手领取红包的活动。这样的红包链接或多或少都有很多的漏洞,就是表单可以重复提交。这样的话,对那些p2p网站或者其他类似的网站造成很大的损失。Fiddler大家都不陌生吧,就是一个抓包软件。我们先拦截url请求,Shift+R,填入压力测试的次数,然后释放,就会造成很多次的url访问请求,这样的结果很容易造成表单重复提交。那么我们的今天主题就是如何使用Session和Token防止表单重复提交


表单重复提交例子

在我们写网站的时候,肯定写过留言板的功能,但是肯定对重复提交留言的恶性行为没有进行一些安全措施。

Paste_Image.png

我们利用Fiddler这一款抓包软件,可以进行压力测试,模拟多次url请求。就会造成以下情况,留言板被恶性刷屏。

Paste_Image.png


如何进行防止表单重复提交

其实很简单的,我们只需要生成一个唯一的token,分别放进客户端的表单里和服务器的session中进行了。当我们发起请求时,只需要判断session中的token(以下简称serverToken)和客户端表单里的token(以下简称clientToken)是否相等。 如果severToken==null,clientToken==null 还有 serverToken不等于clientToken,那么就说明表单被重复提交了。反之,如果serverToken==clientToken,就说明表单没有被重复提交,当我们进行了一系列需要的操作后,就可以清除session中的token了。


具体代码
  • 生成唯一的Token public static String makeToken(){ String token=(System.currentTimeMillis()+new Random().nextInt(999999999))+""; try { MessageDigest mDigest=MessageDigest.getInstance("md5"); byte[] md5=mDigest.digest(token.getBytes()); BASE64Encoder encoder=new BASE64Encoder(); return encoder.encode(md5); } catch (NoSuchAlgorithmException e) { throw new RuntimeException(e); }}
  • Jsp代码 <pre> <% String token=CommonUtils.makeToken(); request.getSession().setAttribute(token,token); %> <form enctype="multipart/form-data" action="${pageContext.request.contextPath}/PhotoServlet?method=uploadPhoto&token=<%=token%>" method="post"> 上传图片:<input type="file" name="file"/> 描 述:<input type="text" name="desc"/> <input type="submit" value="提交"/> </form> </pre>
  • Serlvet代码 <pre> public String uploadPhoto(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // TODO Auto-generated method stub String result=null; String clientToken=request.getParameter("token"); String serverToken=(String)request.getSession().getAttribute(clientToken); if(!isRepeatCommit(serverToken, clientToken)){ result="请不要重复提交"; request.getSession().setAttribute("result",result); return "/result.jsp"; } request.getSession().removeAttribute(clientToken); } </pre>

<pre> /** * * @param serverToken * @param clientToken * @return * 如果没有重复提交 返回true, 如果重复提交 返回fasle */ public boolean isRepeatCommit(String serverToken,String clientToken){ MyLog.i(TAG, "serverToken="+serverToken+",clientToken="+clientToken); if(serverToken==null){ return false; }

    if(clientToken==null){
        return false;
    }
    
    if(!clientToken.equals(serverToken)){
        return false;
    }
    
    return true;
}

</pre>


效果图

我自己写了一个图片上传的demo,就来测试一下是否能防止重复提交吧

Paste_Image.png

首先手动测试一下,是否能防止重复提交

Paste_Image.png

我们上传成功后,再次刷新地址栏,会发现已经防止了表单重复提交

Paste_Image.png

手动测试完毕了,心里肯定是美滋滋了。那么我们用Fiddler来测试一下吧,我们来模拟一下压力测试。

Paste_Image.png

我们从Fiddler看到返回结果,心里更是美滋滋了。已经成功防止了表单重复提交不安全的行为了。

Paste_Image.png

发现的问题

写这边简文的时候,我也看到其他大牛写的博客。在底下的评论也发现了一个存在的问题。就是打开2个上传图片的网页,在第一个网页上传到了照片,提示"上传成功"。然后在打开第二个网页再上传图片,就会提示"请不要重复提交"。这是什么问题造成的呢?其实仔细想一下就会发现, 当第一个网站上传图片成功后,就会清除Session中的token值,此时的serverToken=null了。就会造成第二个网站上传图片时候,serverToken=null和serverToken!=clientToken,那么肯定会提示"请不要重复提交"。


解决方案

看到这里,你们估计还有疑问?那么就想一下为什么我要生成唯一的Token。我们这个Token是每一次用户请求的标识。我们只需要serverToken在Session中的属性值设置为唯一的Token即可。就不会发生刚才的情况。

<pre> String token=CommonUtils.makeToken(); request.getSession().setAttribute(token,token); %> </pre>


本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java工程师日常干货

【SpringBoot专题】统一异常处理和统一数据返回前言实践运行结果

在实际开发中,我们希望对接口结果的返回,进行一次统一的封装,即便接口发生异常。比如,我们可以这样设计接口的返回:

1.5K20
来自专栏PHP在线

php 知识点

一.php中单双引号的区别 "" 双引号里面的字段会经过编译器解释,然后再当作HTML代码输出。 '' 单引号里面的不进行解释,直接输出。 从字面意思上就可以看...

448130
来自专栏Kevin-ZhangCG

Tapestry3.0开发概论

 tapestry是平行于struts/Spring MVC/webwork /jsf等开发工具的语言。tapestry是基于组件的开发工具。它具有组件的可重...

19620
来自专栏大数据

使用Go构建一个Data Thrashing CLI工具

以下所撰就是这个快速上手的项目。最后,我将在容器中搭建服务,并将其放入Kubernetes(k8s)集群中,不过下面操作都是在CLI环境下进行的。

26100
来自专栏大学生计算机视觉学习DeepLearning

VS下如何建立一个新的MFC程序 网络编程 课设 基于C++ MFC 连接数据库 小应用 小项目浅析展示

47630
来自专栏Spark学习技巧

Kafka源码系列之kafka如何实现高性能读写的

本文依然是以kafka 0.8.2.2的源码为例进行讲解。 一,kafka高性能的原因 Kafka吞吐量是大家公认的高,那么这是为什么呢?个人总结为以下三点: ...

1.9K70
来自专栏逸鹏说道

Python3 与 C# 并发编程之~ 线程篇2

其实以前的 Linux中是没有线程这个概念的, Windows程序员经常使用线程,这一看~方便啊,然后可能是当时程序员偷懒了,就把进程模块改了改(这就是为什么之...

21340
来自专栏阮一峰的网络日志

JavaScript与有限状态机

有限状态机(Finite-state machine)是一个非常有用的模型,可以模拟世界上大部分事物。 ? 简单说,它有三个特征:   * 状态总数(stat...

38370
来自专栏大内老A

[CORS:跨域资源共享] 同源策略与JSONP

Web API普遍采用面向资源的REST架构,将浏览器最终执行上下文的JavaScript应用Web API消费者的重要组成部分。“同源策略”限制了JavaSc...

22490
来自专栏CaiRui

Python Flask-web表单

Flask-WTF扩展可以把处理web表单的过程变成一种愉悦的体验。 ? 一、跨站请求伪造保护 默认情况下,Flask-WTF能够保护所有表单免受跨站请求伪造的...

40590

扫码关注云+社区

领取腾讯云代金券