1.背景與介紹:
平時開發的項目中可能會出現下面這些情況:
- 由於用戶誤操作,多次點擊表單提交按鈕。
- 由於網速等原因造成頁面卡頓,用戶重復刷新提交頁面。
- 黑客或惡意用戶使用postman等工具重復惡意提交表單(攻擊網站)。
這些情況都會導致表單重復提交,造成數據重復,增加服務器負載,嚴重甚至會造成服務器宕機。因此有效防止表單重復提交有一定的必要性。
2.解決方案
2.1 通過JavaScript屏蔽提交按鈕(不推薦)
通過js代碼,當用戶點擊提交按鈕后,屏蔽提交按鈕使用戶無法點擊提交按鈕或點擊無效,從而實現防止表單重復提交。
ps:js代碼很容易被繞過。比如用戶通過刷新頁面方式,或使用postman等工具繞過前段頁面仍能重復提交表單。因此不推薦此方法。
<!DOCTYPE html>
<html>
<head>
<title>表單</title>
<script type="text/JavaScript">
//默認提交狀態為false
var commitStatus = false;
function dosubmit(){
if(commitStatus==false){
//提交表單后,講提交狀態改為true
commitStatus = true;
return true;
}else{
return false;
}
}
</script>
</head>
<body>
<form action="/path/post" onsubmit="return dosubmit()" method="post">
用戶名:<input type="text" name="username">
<input type="submit" value="提交" id="submit">
</form>
</body>
</html>
2.2 給數據庫增加唯一鍵約束(簡單粗暴)
在數據庫建表的時候在ID字段添加主鍵約束,用戶名、郵箱、電話等字段加唯一性約束。確保數據庫只可以添加一條數據。
數據庫加唯一性約束sql:
alter table tableName_xxx add unique key uniq_xxx(field1, field2) 服務器及時捕捉插入數據異常:
try { xxxMapper.insert(user); } catch (DuplicateKeyException e) { logger.error("user already exist"); } 通過數據庫加唯一鍵約束能有效避免數據庫重復插入相同數據。但無法阻止惡意用戶重復提交表單(攻擊網站),服務器大量執行sql插入語句,增加服務器和數據庫負荷。
廣州vi設計公司 http://www.maiqicn.com 我的007辦公資源網 https://www.wode007.com
2.3 利用Session防止表單重復提交(推薦)
實現原理:
服務器返回表單頁面時,會先生成一個subToken保存於session,並把該subToen傳給表單頁面。當表單提交時會帶上subToken,服務器攔截器Interceptor會攔截該請求,攔截器判斷session保存的subToken和表單提交subToken是否一致。若不一致或session的subToken為空或表單未攜帶subToken則不通過。
首次提交表單時session的subToken與表單攜帶的subToken一致走正常流程,然后攔截器內會刪除session保存的subToken。當再次提交表單時由於session的subToken為空則不通過。從而實現了防止表單重復提交。
使用:
mvc配置文件加入攔截器配置
<mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/**"/> <bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/> </mvc:interceptor> </mvc:interceptors> 攔截器
package xxx.xxxx.interceptor;
import xxx.xxx.SubToken; import org.apache.struts.util.TokenProcessor; import org.springframework.web.method.HandlerMethod; import org.springframework.web.servlet.handler.HandlerInterceptorAdapter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.lang.reflect.Method; public class AvoidDuplicateSubmissionInterceptor extends HandlerInterceptorAdapter { public AvoidDuplicateSubmissionInterceptor() { } @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; Method method = handlerMethod.getMethod(); SubToken annotation = method .getAnnotation(SubToken.class); if (annotation != null) { boolean needSaveSession = annotation.saveToken(); if (needSaveSession) { request.getSession(false) .setAttribute( "subToken", TokenProcessor.getInstance().generateToken( request)); } boolean needRemoveSession = annotation.removeToken(); if (needRemoveSession) { if (isRepeatSubmit(request)) { return false; } request.getSession(false).removeAttribute("subToken"); } } } return true; } private boolean isRepeatSubmit(HttpServletRequest request) { String serverToken = (String) request.getSession(false).getAttribute( "subToken"); if (serverToken == null) { return true; } String clinetToken = request.getParameter("subToken"); if (clinetToken == null) { return true; } if (!serverToken.equals(clinetToken)) { return true; } return false; } } 控制層 controller
@RequestMapping("/form") //開啟一個Token @SubToken(saveToken = true) public String form() { return "/test/form"; } @RequestMapping(value = "/postForm", method = RequestMethod.POST) @ResponseBody //開啟Token驗證,並且成功之后移除當前Token @SubToken(removeToken = true) public String postForm(String userName) { System.out.println(System.currentTimeMillis()); try{ System.out.println(userName); Thread.sleep(1500);//暫停1.5秒后程序繼續執行 }catch (InterruptedException e) { e.printStackTrace(); } System.out.println(System.currentTimeMillis()); return "1"; } 表單頁面
<%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>Title</title> </head> <body> <form method="post" action="/postForm"> <input type="text" name="userName"> <input type="hidden" name="subToken" value="${subToken}"> <input type="submit" value="提交"> </form> </body> </html>2.4使用AOP自定義切入實現
實現原理:
- 自定義防止重復提交標記(@AvoidRepeatableCommit)。
- 對需要防止重復提交的Congtroller里的mapping方法加上該注解。
- 新增Aspect切入點,為@AvoidRepeatableCommit加入切入點。
- 每次提交表單時,Aspect都會保存當前key到reids(須設置過期時間)。
- 重復提交時Aspect會判斷當前redis是否有該key,若有則攔截。
自定義標簽
import java.lang.annotation.*;
/**
* 避免重復提交
* @author hhz
* @version
* @since
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AvoidRepeatableCommit {
/**
* 指定時間內不可重復提交,單位毫秒
* @return
*/
long timeout() default 30000 ;
}自定義切入點Aspect
/**
* 重復提交aop
* @author hhz
* @version
* @since
*/
@Aspect
@Component
public class AvoidRepeatableCommitAspect {
@Autowired
private RedisTemplate redisTemplate;
/**
* @param point
*/
@Around("@annotation(com.xwolf.boot.annotation.AvoidRepeatableCommit)")
public Object around(ProceedingJoinPoint point) throws Throwable {
HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest();
String ip = IPUtil.getIP(request);
//獲取注解
MethodSignature signature = (MethodSignature) point.getSignature();
Method method = signature.getMethod();
//目標類、方法
String className = method.getDeclaringClass().getName();
String name = method.getName();
String ipKey = String.format("%s#%s",className,name);
int hashCode = Math.abs(ipKey.hashCode());
String key = String.format("%s_%d",ip,hashCode);
log.info("ipKey={},hashCode={},key={}",ipKey,hashCode,key);
AvoidRepeatableCommit avoidRepeatableCommit = method.getAnnotation(AvoidRepeatableCommit.class);
long timeout = avoidRepeatableCommit.timeout();
if (timeout < 0){
//過期時間5分鍾
timeout = 60*5;
}
String value = (String) redisTemplate.opsForValue().get(key);
if (StringUtils.isNotBlank(value)){
return "請勿重復提交";
}
redisTemplate.opsForValue().set(key, UUIDUtil.uuid(),timeout,TimeUnit.MILLISECONDS);
//執行方法
Object object = point.proceed();
return object;
}
}