JavaWeb开发中防止表单重复提交

原创已于 2024-07-26 09:49:44 修改 · 394 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#j2ee # 表单重复提交

于 2018-11-28 23:17:14 首次发布

Web 专栏收录该内容

7 篇文章

订阅专栏

本文探讨了防止Web表单重复提交的四种有效方法，包括客户端JS验证、验证码、时间令牌及Struct框架Token机制。同时，深入解析了JS中Cookie的使用，涵盖其设置、获取、有效期管理及跨域访问控制。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

第一种方式：

可以在客户端利用Javascript对表单重复提交作验证，主要实现手段是在这个表单触发表单提交事件的时候调用一个Javascript编写的函数，这个函数：
<script>
var isCommitted = false;
function checkPost()
{
if(!isCommitted)
{
isCommitted = true;
return true;
}
else
{
alert("不能重复提交表单");
return false;
}
}
</script>
<form action="servlet/RepeateFormServlet" method="POST" οnsubmit="return checkPost()">...
第二种方式：利用验证码
由于每次表单的提交都需要一个验证码这个验证码在服务器端是唯一的每次表单提交的验证码是不同的可以根据每次提交上来的验证码与服务器端的中的session中的验证码进行匹配
第三种方式：利用一个时间令牌(可以使任意的令牌只要是唯一的就可以)
产生这个唯一令牌
如：<%
      Date   nowDate =    new Date();
      String nowDateString = new Long(nowDate.getTime()).toString();
      session.setAttribute("tokenTime",nowDateString);
%>

通过一个表单隐藏的字段传递这个令牌
<input type="hidden" name="tokenTime" value="<%=nowDateString%>">
接下来在服务器端中的session中获取这个时间令牌然后与这个表单的隐藏字段进行比较
相同则提交表单并且把这个session中的tokenTime删除
session.setAttribute("tokenTime",nowDateString);
反之....

第四种方式：基于Struct框架的解决方案

Struct框架中提供了一个Token机制来解决表单的重复提交
使用这个Token应注意：
JSP必须是通过一个Action进行转发并且在这个Action中调用saveToke(request);
这个方法向导向的JSP中保持一个唯一的Token
然后在一个处理表单的Action中调用isTokenVaild(request,true)方法来验证这个表单是否被重复提交
实现原理：当调用saveToken(request)时候服务器向JSP中输出一个唯一的Token服务器端也保存相同的一份当提交这个表单的时候调用isTokenValid(request,ture)进行校验后服务器又会生出一个新的Token发送给表单JSP中服务器端的Token不发送改变，当客户端再次提交这个表单的时候调用isTokenValid(request,ture）方法进行校验此时这个Token不一致则不会重复提交表单

JS中Cookie的使用详细分析

cookie概述

cookie是浏览器提供的一种机制，它将document 对象的cookie属性提供给JavaScript。可以由JavaScript对其进行控制，而并不是JavaScript本身的性质。cookie是存于用户硬盘的一个文件，这个文件通常对应于一个域名，当浏览器再次访问这个域名时，便使这个cookie可用。因此，cookie可以跨越一个域名下的多个网页，但不能跨越多个域名使用。

不同的浏览器对cookie的实现也不一样，但其性质是相同的。例如在Windows 2000以及Windows xp中，cookie文件存储于documents and settings\userName\cookie\文件夹下。通常的命名格式为：userName@domain.txt。

cookie机制将信息存储于用户硬盘，因此可以作为全局变量，这是它最大的一个优点。它可以用于以下几种场合。

（1）保存用户登录状态。例如将用户id存储于一个cookie内，这样当用户下次访问该页面时就不需要重新登录了，现在很多论坛和社区都提供这样的功能。 cookie还可以设置过期时间，当超过时间期限后，cookie就会自动消失。因此，系统往往可以提示用户保持登录状态的时间：常见选项有一个月、三个月、一年等。

（2）跟踪用户行为。例如一个天气预报网站，能够根据用户选择的地区显示当地的天气情况。如果每次都需要选择所在地是烦琐的，当利用了 cookie后就会显得很人性化了，系统能够记住上一次访问的地区，当下次再打开该页面时，它就会自动显示上次用户所在地区的天气情况。因为一切都是在后台完成，所以这样的页面就像为某个用户所定制的一样，使用起来非常方便。

（3）定制页面。如果网站提供了换肤或更换布局的功能，那么可以使用cookie来记录用户的选项，例如：背景色、分辨率等。当用户下次访问时，仍然可以保存上一次访问的界面风格。

（4）创建购物车。正如在前面的例子中使用cookie来记录用户需要购买的商品一样，在结账的时候可以统一提交。例如淘宝网就使用cookie记录了用户曾经浏览过的商品，方便随时进行比较。

当然，上述应用仅仅是cookie能完成的部分应用，还有更多的功能需要全局变量。cookie的缺点主要集中于安全性和隐私保护。主要包括以下几种：

（1）cookie可能被禁用。当用户非常注重个人隐私保护时，他很可能禁用浏览器的cookie功能；
（2）cookie是与浏览器相关的。这意味着即使访问的是同一个页面，不同浏览器之间所保存的cookie也是不能互相访问的；
（3）cookie可能被删除。因为每个cookie都是硬盘上的一个文件，因此很有可能被用户删除；
（4）cookie安全性不够高。所有的cookie都是以纯文本的形式记录于文件中，因此如果要保存用户名密码等信息时，最好事先经过加密处理。

设置cookie
每个cookie都是一个名/值对，可以把下面这样一个字符串赋值给document.cookie：

document.cookie="userId=828";
如果要一次存储多个名/值对，可以使用分号加空格（; ）隔开，例如：

document.cookie="userId=828; userName=hulk";
在cookie 的名或值中不能使用分号（;）、逗号（,）、等号（=）以及空格。在cookie的名中做到这点很容易，但要保存的值是不确定的。如何来存储这些值呢？方法是用escape()函数进行编码，它能将一些特殊符号使用十六进制表示，例如空格将会编码为“20%”，从而可以存储于cookie值中，而且使用此种方案还可以避免中文乱码的出现。例如：

document.cookie="str="+escape("I love ajax");

相当于：

document.cookie="str=I%20love%20ajax";

当使用escape()编码后，在取出值以后需要使用unescape()进行解码才能得到原来的cookie值，这在前面已经介绍过。

尽管document.cookie看上去就像一个属性，可以赋不同的值。但它和一般的属性不一样，改变它的赋值并不意味着丢失原来的值，例如连续执行下面两条语句：

document.cookie="userId=828"; 
document.cookie="userName=hulk";

这时浏览器将维护两个cookie，分别是userId和userName，因此给document.cookie赋值更像执行类似这样的语句：

document.addCookie("userId=828"); 
document.addCookie("userName=hulk");

事实上，浏览器就是按照这样的方式来设置cookie的，如果要改变一个cookie的值，只需重新赋值，例如：

document.cookie="userId=929";
这样就将名为userId的cookie值设置为了929。

获取cookie的值
下面介绍如何获取cookie的值。cookie的值可以由document.cookie直接获得：

var strCookie=document.cookie;
这将获得以分号隔开的多个名/值对所组成的字符串，这些名/值对包括了该域名下的所有cookie。例如：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
document.cookie="userId=828"; 
document.cookie="userName=hulk"; 
var strCookie=document.cookie; 
alert(strCookie); 
//--> 
</script>

从输出可知，只能够一次获取所有的cookie值，而不能指定cookie名称来获得指定的值，这正是处理cookie值最麻烦的一部分。用户必须自己分析这个字符串，来获取指定的cookie值，例如，要获取userId的值，可以这样实现：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
//设置两个cookie 
document.cookie="userId=828"; 
document.cookie="userName=hulk"; 
//获取cookie字符串 
var strCookie=document.cookie; 
//将多cookie切割为多个名/值对 
var arrCookie=strCookie.split("; "); 
var userId; 
//遍历cookie数组，处理每个cookie对 
for(var i=0;i<arrCookie.length;i++){ 
var arr=arrCookie[i].split("="); 
//找到名称为userId的cookie，并返回它的值 
if("userId"==arr[0]){ 
userId=arr[1]; 
break; 
} 
} 
alert(userId); 
//--> 
</script>

这样就得到了单个cookie的值。
用类似的方法，可以获取一个或多个cookie的值，其主要的技巧仍然是字符串和数组的相关操作。
给cookie设置终止日期
到现在为止，所有的cookie都是单会话cookie，即浏览器关闭后这些cookie将会丢失，事实上这些cookie仅仅是存储在内存中，而没有建立相应的硬盘文件。
在实际开发中，cookie常常需要长期保存，例如保存用户登录的状态。这可以用下面的选项来实现：

document.cookie="userId=828; expiress=GMT_String";
其中GMT_String是以GMT格式表示的时间字符串，这条语句就是将userId这个cookie设置为GMT_String表示的过期时间，超过这个时间，cookie将消失，不可访问。例如：如果要将cookie设置为10天后过期，可以这样实现：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
//获取当前时间 
var date=new Date(); 
var expiresDays=10; 
//将date设置为10天以后的时间 
date.setTime(date.getTime()+expiresDays*24*3600*1000); 
//将userId和userName两个cookie设置为10天后过期 
document.cookie="userId=828; userName=hulk; expires="+date.toGMTString(); 
//--> 
</script>

删除cookie

为了删除一个cookie，可以将其过期时间设定为一个过去的时间，例如：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
//获取当前时间 
var date=new Date(); 
//将date设置为过去的时间 
date.setTime(date.getTime()-10000); 
//将userId这个cookie删除 
document.cookie="userId=828; expires="+date.toGMTString(); 
//--> 
</script>

指定可访问cookie的路径

默认情况下，如果在某个页面创建了一个cookie，那么该页面所在目录中的其他页面也可以访问该cookie。如果这个目录下还有子目录，则在子目录中也可以访问。例如在www.xxxx.com/html/a.html中所创建的cookie，可以被www.xxxx.com/html/b.html或www.xxx.com/ html/ some/c.html所访问，但不能被www.xxxx.com/d.html访问。
为了控制cookie可以访问的目录，需要使用path参数设置cookie，语法如下：
document.cookie="name=value; path=cookieDir";
其中cookieDir表示可访问cookie的目录。例如：
document.cookie="userId=320; path=/shop";
就表示当前cookie仅能在shop目录下使用。
如果要使cookie在整个网站下可用，可以将cookie_dir指定为根目录，例如：

 
document.cookie="userId=320; path=/";

指定可访问cookie的主机名

和路径类似，主机名是指同一个域下的不同主机，例如：www.google.com和gmail.google.com就是两个不同的主机名。默认情况下，一个主机中创建的cookie在另一个主机下是不能被访问的，但可以通过domain参数来实现对其的控制，其语法格式为：

document.cookie="name=value; domain=cookieDomain";
以google为例，要实现跨主机访问，可以写为：
document.cookie="name=value;domain=.google.com";
这样，所有google.com下的主机都可以访问该cookie。
综合示例：构造通用的cookie处理函数
cookie的处理过程比较复杂，并具有一定的相似性。因此可以定义几个函数来完成cookie的通用操作，从而实现代码的复用。下面列出了常用的cookie操作及其函数实现。
1．添加一个cookie：addCookie(name,value,expiresHours)
该函数接收3个参数：cookie名称，cookie值，以及在多少小时后过期。这里约定expiresHours为0时不设定过期时间，即当浏览器关闭时cookie自动消失。该函数实现如下：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
function addCookie(name,value,expiresHours){ 
var cookieString=name+"="+escape(value); 
//判断是否设置过期时间 
if(expiresHours>0){ 
var date=new Date(); 
date.setTime(date.getTime+expiresHours*3600*1000); 
cookieString=cookieString+"; expires="+date.toGMTString(); 
} 
document.cookie=cookieString; 
} 
//--> 
</script>

2．获取指定名称的cookie值：getCookie(name)

该函数返回名称为name的cookie值，如果不存在则返回空，其实现如下：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
function getCookie(name){ 
var strCookie=document.cookie; 
var arrCookie=strCookie.split("; "); 
for(var i=0;i<arrCookie.length;i++){ 
var arr=arrCookie[i].split("="); 
if(arr[0]==name)return arr[1]; 
} 
return ""; 
} 
//--> 
</script>

3．删除指定名称的cookie：deleteCookie(name)

该函数可以删除指定名称的cookie，其实现如下：

 
<script language="JavaScript" type="text/javascript"> 
<!-- 
function deleteCookie(name){ 
var date=new Date(); 
date.setTime(date.getTime()-10000); 
document.cookie=name+"=v; expires="+date.toGMTString(); 
} 
//--> 
</script>

JSP自定义标签开发入门

一、自定义标签的作用

　　自定义标签主要用于移除Jsp页面中的java代码。

二、自定义标签开发和使用

2.1、自定义标签开发步骤

1、编写一个实现TagSupport接口的Java类(标签处理器类)

import javax.servlet.jsp.JspException;
import javax.servlet.jsp.JspWriter;
import javax.servlet.jsp.tagext.TagSupport;
import org.apache.commons.lang.StringUtils;
import java.io.IOException;

public class ResourceTags extends TagSupport {
	//参数
	private String url;
    private String className;

    @Override
    public int doStartTag() throws JspException {
    	StringBuffer stringBuffer = new StringBuffer();
    	if(StringUtils.isNotEmpty(url)){
    		stringBuffer.append("<div>");
    		stringBuffer.append("<img src='"+url+"' class='"+className+"'>");
    		stringBuffer.append("</div>");
    	}
    	JspWriter out = pageContext.getOut();
    	try {
    		out.write(stringBuffer.toString());//输出到jsp页面
    	} catch (IOException e) {
    		e.printStackTrace();
    	}
        return EVAL_BODY_INCLUDE;
    }

	public String getUrl() {
		return url;
	}
	public void setUrl(String url) {
		this.url = url;
	}
	public String getClassName() {
		return className;
	}
	public void setClassName(String className) {
		this.className = className;
	}
}

2、在WEB-INF/目录下新建tld文件，在tld文件中对标签处理器类进行描述

ResourceTags.tld文件的代码如下：

<?xml version="1.0" encoding="UTF-8"?>
<taglib xmlns="http://java.sun.com/xml/ns/javaee"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-jsptaglibrary_2_1.xsd"
        version="2.1">
	<!--taglib(标签库)的版本号 -->
    <tlib-version>1.0</tlib-version>
	<!--签库文件的命名空间 -->
    <short-name>role</short-name>
    <!-- 
         为自定义标签库设置一个uri，uri以/开头，/后面的内容随便写，如这里的/gacl ，
         在Jsp页面中引用标签库时，需要通过uri找到标签库
         在Jsp页面中就要这样引入标签库：<%@taglib uri="http://jsp/user/defined/tag" prefix="user"%>
     -->
    <uri>http://jsp/user/defined/tag</uri>
    <tag>
	    <!--标签名-->
        <name>resource</name>
        <!-- 标签对应的处理器类-->
        <tag-class>com.sf.sfbuy2.tags.ResourceTags</tag-class>
		<!--
		是否有标签体 
		body-content:值默认的是jsp。如果是自关闭标签，需要制定成empty。
		如果标签有属性，还有attribute子元素
		-->
        <body-content>JSP</body-content>
        <attribute>
            <description></description>
			<!--属性的名称（与类中变量同名） -->
            <name>url</name>
			<!--是否必需 -->
            <required>true</required>
			<!--属性的值是否通过运行时加以赋值（程序动态赋值） -->
            <rtexprvalue>false</rtexprvalue>
        </attribute>
        <attribute>
            <description></description>
            <name>className</name>
            <required>false</required>
            <rtexprvalue>false</rtexprvalue>
        </attribute>
    </tag>
</taglib>

2、配置web.xml

(1)作用

在web.xml中进行标签配置文件的设置，告诉web应用程序，需要调用的自定义标签在哪里。

(2)前提

在标签配置文件中，如果没有进行<uri>的配置，则必须进行web.xml的配置。如果已经配置了uri元素的值，就不需要进行web.xml的配置，可以直接在jsp上调用。uri表现在JSP页面引入标签时候，需为taglib指令指定uri，注意和TLD文件中的标签类的别名name区分,那个是在JSP页面中调用标签时候命名空间后面写入。

(3)配置(如上图在WEB.XML中的配置)

所有的标签配置文件的配置，都必须在<jsp-config>元素中。每个配置文件有自己<taglib>元素。

<taglib-location>标签配置文件的物理地址</taglib-location>

<taglib-uri>标签配置文件的调用别名</taglib-uri>

<taglib-uri>http://jsp/user/defined/tag</taglib-uri>

<taglib-location>/WEB-INF/ResourceTags.tld</taglib-location>

</taglib>

在Jsp页面中使用自定义标签

　　使用"<%@taglib uri="标签库的uri" prefix="标签的使用前缀"%>"指令引入要使用的标签库。

例如：在jsp中引用http://jsp/user/defined/tag标签库

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib uri="http://jsp/user/defined/tag" prefix="ud"%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="robots" content="all" />
<meta name="Description" content="" />
<title>title</title>
<%@ include file="/WEB-INF/views/common/common.jsp" %>
</head>
<body>
<div style="text-align:center;">
使用自定义标签显示指定的图片
<ud:resource url="http://localhost:8080/images/1060868.png" className="aa"/>
</div>
</body>
</html>