什么是刷新/重新載入
IE中的刷新(Refresh),在FF和Chrome中稱為重新載入(Reload),與正常進入頁面的區別在於以下兩點:
1. 緩存控制
如果文件(比如圖片)在本地緩存中已經存在,正常進入頁面會不訪問服務器而直接從本地加載。而對於刷新操作,即使存在本地緩存,也會強制訪問服務器檢查更新,在Request Header中會帶有“If-Modified-Since”標簽。如果文件沒有更新,服務器會返回304, 否則返回200及更新后的文件。
2. 重復提交
刷新會重復提交上一次的請求。比方說新建一張訂單然后保存,而系統操作成功后停留在當前頁面。此時進行刷新,瀏覽器會彈出一個對話框詢問是否繼續,點確定后瀏覽器會重復提交上一次的POST請求(點擊保存的請求),系統可能會產生一張重復的訂單。當然,上次操作如果只是Get請求而非POST,重復提交並不會導致這種問題。
如何防止重復提交
防止重復提交的方法與PRG(POST-Redirect-GET)模式有一些相似之處,具體來說,當Web服務器識別到一個重復提交的POST請求的時候,重定向到當前頁面,然后瀏覽器以GET的方式請求該頁面。如果使用HttpWatch之類的工具查看網絡請求,可以看到會有兩個請求,302 & 200。
現在問題在於如何識別一個請求是由刷新引起的。我們利用刷新操作會重復提交上一次請求,而不是當前請求的特性,可以有以下方案:在服務器端(Session)和頁面(可以是頁面上一個hidden field)上都設置一個整型標志位,在每次POST請求中都比較兩者的值,然后自增。在正常提交情況下,瀏覽器會提交當前頁面上hidden field的值,所以每次該值與Session中的都相等;在刷新情況下,提交的值是上次請求的值,就會與Session的不相等,由此得知是刷新操作引起的重復提交。
這類似於Struts中的Token驗證。
在這里我們把頁面hidden field稱為Client Flag,具體的流程如下
在最后一步刷新頁面的時候,hidden field的值為3,但是瀏覽器會重復提交上一次的請求(2),造成與Session中的值(3)不一致。
在ASP.NET MVC中的實現
添加一個自定義的ActionFilter.
View Code
public class NoResubmitAttribute : ActionFilterAttribute { private static readonly string HttpMehotdPost = "POST"; private static readonly string prefix = "postFlag"; private string nameWithRoute; public override void OnActionExecuting(ActionExecutingContext filterContext) { var controllerContext = filterContext.Controller.ControllerContext; if (!controllerContext.IsChildAction) { var request = controllerContext.HttpContext.Request; var session = controllerContext.HttpContext.Session; nameWithRoute = generateNameWithRoute(controllerContext); int sessionFlag = session[nameWithRoute] == null ? 0 : (int)session[nameWithRoute]; int requestFlag = string.IsNullOrEmpty(request.Form[nameWithRoute]) ? 0 : int.Parse(request.Form[nameWithRoute]); // get or normal post: true; bool isValid = !IsPost(filterContext) || sessionFlag == requestFlag; if (sessionFlag == int.MaxValue) { sessionFlag = -1; } session[nameWithRoute] = ++sessionFlag; if (!isValid) { filterContext.Result = new RedirectResult(GenerateUrlWithTimeStamp(request.RawUrl)); return; } } base.OnActionExecuting(filterContext); } private string GenerateUrlWithTimeStamp(string url) { return string.Format("{0}{1}timeStamp={2}", url, url.Contains("?") ? "&" : "?", (DateTime.Now - DateTime.Parse("2010/01/01")).Ticks); } private bool IsPost(ActionExecutingContext filterContext) { return filterContext.HttpContext.Request.HttpMethod == HttpMehotdPost; } private string generateNameWithRoute(ControllerContext controllerContext) { StringBuilder sb = new StringBuilder(prefix); foreach (object routeValue in controllerContext.RouteData.Values.Values) { sb.AppendFormat("_{0}", routeValue); } return sb.ToString(); } public override void OnResultExecuted(ResultExecutedContext filterContext) { base.OnResultExecuted(filterContext); if (!filterContext.IsChildAction && !(filterContext.Result is RedirectResult)) { //string format = "<script type='text/javascript'>$(function () [[ $('form').each(function()[[$('<input type=hidden id={0} name={0} value={1} />').appendTo($(this));]])]]); </script>"; string format = "<script type='text/javascript'> var forms = document.getElementsByTagName('form'); for(var i = 0; i<forms.length; i++)[[var ele = document.createElement('input'); ele.type='hidden'; ele.id=ele.name='{0}'; ele.value='{1}'; forms[i].appendChild(ele);]] </script>"; string script = string.Format(format, nameWithRoute, filterContext.HttpContext.Session[nameWithRoute]).Replace("[[", "{").Replace("]]", "}"); filterContext.HttpContext.Response.Write(script); } } }
為了提交易用性,這里將通過javascript創建HiddenField的部分也封裝在ActionFilter里,當然你也可以在母板頁中加此hiddenfield。
然后將此Attribute加在需要防止重復提交的Action之上,需要提醒的是,Get和Post的Action都需要加此Attribute,或者都不加。
View Code
[HttpGet] [NoResubmit] public ActionResult Index() { return View(); } [HttpPost] [NoResubmit] public ActionResult Index(int id) { return View(); } [NoResubmit] public ActionResult About() { return View(); }
在ASP.NET Web Form中的實現
跟MVC一樣,在Web Form中我們仍然可以使用加Hidden Field的方法,但是我更願意使用ViewState(視圖狀態)來儲存該標志位,這樣就不許動態創建hidden field。
實現會放在一個繼承自Web.UI.Page的BasePage類中,只需將頁面類繼承該BasePage即可。
View Code
public class BasePage : System.Web.UI.Page { private static readonly string prefix = "postFlag"; private string nameWithRoute; public BasePage() { nameWithRoute = generateNameWithRoute(); } protected override void LoadViewState(object savedState) { object[] allStates = (object[])savedState; base.LoadViewState(allStates[0]); int requestFlag = string.IsNullOrEmpty(allStates[1].ToString()) ? 0 : int.Parse(allStates[1].ToString()); int sessionFlag = Session[nameWithRoute] == null ? 0 : (int)Session[nameWithRoute]; // get or normal post: true; bool isValid = !IsPostBack || sessionFlag == requestFlag; if (sessionFlag == int.MaxValue) { sessionFlag = -1; } Session[nameWithRoute] = ++sessionFlag; if (!isValid) { Response.Redirect(GenerateUrlWithTimeStamp(Request.RawUrl), false); Response.End(); return; } } protected override object SaveViewState() { object[] allStates = new object[2]; allStates[0] = base.SaveViewState(); allStates[1] = Session[nameWithRoute]; return allStates; } private string generateNameWithRoute() { string fileSubfix = ".aspx"; return prefix + Request.FilePath.Replace(fileSubfix, "").Replace("/", "_"); } private string GenerateUrlWithTimeStamp(string url) { return string.Format("{0}{1}timeStamp={2}", url, url.Contains("?") ? "&" : "?", (DateTime.Now - DateTime.Parse("2010/01/01")).Ticks); } }
避免IE 8及之前版本的Bug
再此過程中發現IE8及之前IE版本中的一個Bug。在刷新操作中進行重定向到當前路徑,IE9/Chrome/Firefox中會產生兩個請求,302和200,但是在IE8中,在302后沒有進行重定向,頁面則變成空白頁。
IE9/Chrome/Firefox: (正常)
IE8 and ealier: (異常)
並不清楚這是IE8的缺陷還是所謂by-designed的行為。為了避免這種情況,在上述兩種實現中都在重定向的URL中加了一個時間戳,使之與原路徑不一樣來避免此問題。
該方案的限制性
由於我們使用Session來存放服務器端的標志位,所以當用戶在同一瀏覽器中不同標簽頁打開同一個頁面時會有些小問題。后面打開的標簽頁一切正常,但如果在上面做了一些操作后又回到前面打開的標簽操作,會引起先打開的標簽重定向。