当ajax遇到token的时候

最新推荐文章于 2022-11-20 22:51:08 发布
最新推荐文章于 2022-11-20 22:51:08 发布 · 427 阅读 · 0
文章标签:

#struts2 token ajax

       struts2 的token机制在这里就不详细的描述了,大体上是:

       在表单提交页面加上<s:token/>标签,在页面加载时,<s: token />产生一个GUID(Globally Unique Identifier,全局唯一标识符)值的隐藏域如:

  1. <input type="hidden" name="struts.token.name" value="token"/>  
  2. <input type="hidden" name="token" value="BXPNNDG6BB11ZXHPI4E106CZ5K7VNMHR"/>
  3.        并且将该GUID存放在session中,作为提交时的表示,防止重复提交。
  4. 以下是我的应用场景:
  5.        由于某些特殊的原因,我的一些表单数据需要通过ajax提交到后台,当struts的校验不通过时,我还需要将相应的错误信息显示到前台的jsp,具体请看下面的js脚本:
  6.        这是ajax请求成功后的处理方法,js脚本10-15需要重点关注。
  7. Core.ajaxSuccess = function(data) {
	
	if (data.actionErrors && data.actionErrors.length > 0) {
		$.each(data.actionErrors, function(name, value) {
//			$.messager.alert(value, 'error');
			Core.errorAlert(value);
		});
		return false;
	}
	if (!jQuery.isEmptyObject(data.fieldErrors)) {
		$("[id^='error_']").text("");
		$.each(data.fieldErrors, function(name, value) {
			$("[id='error_" + name + "']").text(value);
			
		});
		return false;
	}
	
	if (data.actionMeassages && data.actionMeassages.length > 0) {
		$.each(data.actionMeassages, function(name, value) {
//			$.messager.alert(value, 'error');
			Core.successAlert(value);
		});
		return true;
	}

	Core.successAlert();
	return true;// 返回true表示响应中无错误信息
};
            请注意,当第一次提交时,验证不通过,会提示相应的错误信息;但是当修改信息后再一次提交时,后台会报出当前TOKEN不存在的错误,恩?这是怎么回事呢?仔细查看之下发现struts2 的GUID是在页面加载的时候生成并存放在session中的,并且标示为struts.tokens.token;ajax请求完成后,页面并没有重新加载,所以导致GUID没有重新生成,而此时session中的GUID已经在第一次请求时匹配而被清空了;当第二次在请求时,在session中没有相应的GUID,问题被发现,现在我们要解决它……
  8.        我的解决方案是,验证没有通过时,生成一个GUID返回到前台页面,存入 name="token" 的input中,这样再次请求时,就不会出现session中的GUID和页面请求的GUID不匹配的问题了!!!
  9.        以下是我的action处理代码:
  10. @Override
    public void validate() {
        super.validate();

        Map<String, List<String>> fieldErrors = this.getFieldErrors();
        if ((fieldErrors != null) && !fieldErrors.isEmpty()) {
            String struts_token = null;
            if ((this.request != null) && (this.request.getSession() != null)
                    && (this.request.getSession().getAttribute(TOKEN_SEESION_NAME) != null)) {
                this.request.getSession().getAttribute(TOKEN_SEESION_NAME).toString();
            }
            if (StringUtils.isEmpty(struts_token)) {
                struts_token = this.customTokenValue();//生成一个MD5串
                this.request.getSession().setAttribute(TOKEN_SEESION_NAME, struts_token);
                this.addFieldError("struts_token", struts_token);
            }
        }
    }
           以下是部分js脚本:
  11. if (!jQuery.isEmptyObject(data.fieldErrors)) {
		$("[id^='error_']").text("");
		$.each(data.fieldErrors, function(name, value) {
			if (name == 'struts_token') {
				$("[name='token']").val(value);
			}
			else {
				$("[id='error_" + name + "']").text(value);
			}
		});
		return false;
	}
     
  12.         这里提供的是一种思路,通过struts标签生成的GUID需要重新加载页面才能生效,当这种机制行不通的时候,我们需要另辟蹊径处理token相关的问题了;这里说的是struts验证不通过的问题,可能你还会遇到别的类似的问题,一样的找到你的GUID存放位置,重新设置GUID值,传值到前台,解决该问题。。。
  13.        欢迎各位大牛批评指正,有任何问题请联系我,邮箱:xulonghui2011@163.com 
  14.        另外 淘宝小店做一些话费、QQ相关和一些点卡的充值业务,有需要的,可以进去看看,地址: http://shop104105266.taobao.com 店名叫"真惠充值"

 

如何在Django中设置CSRF Token
字节王德发
03-17 1446
在现代的Web开发中,安全性是至关重要的。CSRF(跨站请求伪造)攻击是常见的安全威胁之一。为了抵御这种攻击,Django提供了强大的CSRF保护机制。本篇文章将详细介绍如何在Django中设置和使用csrf_token,帮助你更好地理解这一重要安全特性。要理解CSRF的概念。CSRF是一种攻击方式,攻击者通过伪造用户的请求来执行不当操作。比如,当用户在某个网站上登录后,攻击者可以利用用户的身份发送恶意请求。为了防止这种情况,Django通过CSRF Token来确保请求的合法性。
ajax php token,Ajax使用Token验证身份
weixin_27645199的博客
03-16 363
因为最近做了几个后台,所以经常会涉及到Token验证身份操作后台,所以这里记录一个如何向后台传请求头和Token。本文主要和大家介绍jQury Ajax使用Token验证身份实例代码,需要的朋友可以参考下,希望能帮助到大家。success:function(dat){console.log(dat);if(dat.code==1){sessionStorage.setItem('token',da...
通过生成Token解决Ajax请求安全问题AjaxTokenTest
07-24
通过页头生成Token,进行请求验证,解决Ajax请求安全问题。目前为止我做的最多的防止ajax请求攻击的就是添加验证码、添加随机Token,限制同一请求在规定时间内的最大请求数量、服务器端校验数据正确性、尽量使用POST方法。 此程序是在ajax请求的http头中添加一个随机Token来增加ajax请求的安全性。此程序由网友提供思路本人完成改进测试。
struts2 token ajax,How to pass a struts2 token via ajax without a form?
weixin_33701632的博客
08-06 339
I am trying to use the token interceptor that ships with Struts in order to implement a CSRF check. However instead of using a I am making an AJAX call from within some JS:foo.jsp:var strutsToken = "...
ajax实现请求头添加token
热门推荐
小马总的博客
11-02 2万+
mainUrl是定义的全局的域名,localStorage.token是登录进来存储的token,这个token最好是放在session中,async表示异步 微信公众号开发、企业建站开发、小程序、vue、h5、css3、react等前端视频学习资料关注公众号【码兄】免费获取 function updateType(type) { $.aj...
Struts2中,使用JQuery下的AJAX出现的“unexpected token <”错误
KING__GOGO的专栏
09-28 936
Struts2+JQuery环境下,时长会出现“unexpected token TestContentService testContentService; 当给testContentService设置get/set函数时,因为testContentService不符合JSON的数据格式,前段无法解释这个对象,所以会报“unexpected token
解决Django提交表单报错:CSRF token missing or incorrect的问题
12-20
当你遇到"CSRF token missing or incorrect"的错误时,这通常意味着在处理表单提交时,Django无法找到或验证有效的CSRF令牌。 首先,我们来理解Django中的CSRF机制。Django会在用户首次访问网站时生成一个唯一的...
ajax获取json数据为undefined原因分析
12-12
总结来说,当处理Ajax获取的JSON数据出现`undefined`时,应检查数据类型、JSON格式、属性访问、异步处理、编码问题以及跨域限制等因素。理解并解决这些问题有助于确保JSON数据能够正确地被JavaScript解析和使用。...
ajax实现excel报表导出
01-19
项目中遇到一个场景,要导出一个excel报表。由于需要token验证,所以不能用a标签;由于页面复杂,所以不能使用表单提交。初步考虑前端使用ajax,后端返回流,定义指定的header。 第一版 主要代码 前端 使用jquery的...
Django解决Ajax中post提交数据403的代码
09-15
然而,在使用Ajax向Django后端发送POST请求时,可能会遇到403 Forbidden错误,提示“CSRF token missing or incorrect.”。这个问题是由于Django的安全机制——跨站请求伪造(Cross-Site Request Forgery,简称CSRF...
struts2下的ajax注意事项
cktmyh的专栏
09-17 374
JQuery版的ajax配合struts2框架使用时需要注意一点:一定要手动指定result name="success",否则无法获得action传回来的参数信息。虽然默认是name="success",但是就是这么无厘头。另外,如果验证是错误的,不能直接返回INPUT,还是返回SUCCESS.
ajax 结合struts2,struts2ajax结合
weixin_29967445的博客
08-05 194
js代码function CreateRequestObject(){var ajaxRequest;try{ajaxRequest = new XMLHttpRequest();}catch(e){try{ajaxRequest = new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{ajaxRequest = new ActiveXObject(...
前端Ajax交互关于token的发送问题
Shmily_YH的博客
11-17 766
前端Ajax交互关于token的发送问题 最近由于实验室纳新,写了一个纳新系统,其中前后端交互的时候遇到了token的发送问题,从后台接收到token,但是向后台发送这个token,着实费了不小的力气。 问题描述:行报名的功能,后台为了判断报名的那个人跟登录的人是否是同一个人,所以登录之后向前端返回一个token,前端接收之后,在他报名之后发送数据的时候,又要将这个token发送到后台进行判断,但是这个token是一个密钥,他不是报名信息等,所以不能放在send里面直接发送,要放在头部信息里面发送。实现的代
struts2造成的多次提交和ajax调用不进入后台问题发现和解决
yu_duan_hun的博客
11-06 652
1.struts2多次提交 这种情况发生在网络较慢时,现象是前端ajax调用一次struts2接口,因为网速较慢,struts2自动调用了多次某接口。这种情况对于提交操作很要命,会出现以下两种情况造成体验差: 1.显示失败,实际成功(发生在首次提交失败,后续成功的情况,后续成功不会返回前端正确数据) 2.显示成功,数据多条(这个问题很严重,用户下了一张单结果显示多条,系统管理方面也不好操作) 处理...
发送ajax请求中token的处理方法
mzy110_的博客
11-04 9607
token:本义“令牌” 第一种方法:直接在ajax请求中利用请求头属性来携带token $.ajax({ type: 'get', url: 'http://localhost:8080/XXXXXX', headers: { 'Authorization': localStorage.getItem('token') },
ajax中传递token的两种方法
weixin_37842058的博客
11-30 3691
放在请求头中 $.ajax({ type: "post", url: "http:///test/getInfo", headers: { //请求头 Accept: "application/json; charset=utf-8", token: "" + token //这是获取的token
ajaxtoken令牌的作用与工作流程
qq_55621199的博客
11-20 820
ajaxtoken令牌的作用与工作流程
ajax请求中自定义添加请求头token两种方式
总结前端开发中遇到的问题,分享前端知识
06-04 4767
$(function () { $.ajax({ type: 'GET', url: '/api', data: {}, dataType: 'json', beforeSend:function(xhr){ xhr.setRequestHeader("token","Basic "+"cGluZ2FuOjEyMzQ1Na=="); }, success:functi.
Struts2的标签及其自定义token拦截器的定义及配置
jenny537的专栏
09-23 2567
这个标志可能大家不常用,不过本人认为它还是挺有用的。在使用Struts 1.x时,因为跳转通常是用Forward(而不是Redirect)实现的,所以当用户完成请求后,按“F5”刷新页面时,就会重新提交上次的请求,这样经常会出错。要解决这个问题,可以帮你忙。实现原理在页面加载时,产生一个GUID(Globally Unique Identifier,全局唯一标识符)值的隐藏输入框如:i
ajax请求的时候headers怎么传值
最新发布
04-23
<think>嗯,用户想知道如何在AJAX请求中设置和传递headers参数。首先,我需要回忆一下常见的AJAX库和方法,比如原生JavaScript的XMLHttpRequest、jQuery的$.ajax,以及ExtJS的Ext.Ajax.request。用户之前的问题可能涉及到ExtJS,因为引用的内容里有提到Ext.Ajax.request。不过用户现在可能想了解更通用的方法,或者不同库的实现方式。 首先,我应该分步骤说明不同场景下的设置方法。原生JS、jQuery、Fetch API、ExtJS和Axios都是常用的方式。每个部分需要给出代码示例,并指出headers的位置和设置方式。比如在原生JS中,使用setRequestHeader方法,而jQuery中是在ajax设置的headers对象里。 然后需要注意跨域问题,因为设置自定义头可能会触发预检请求(preflight),所以服务器需要正确配置CORS响应头,比如Access-Control-Allow-Headers。引用中的信息[^2]提到了这一点,应该提醒用户这一点,避免遇到跨域错误。 可能用户在实际操作中会遇到问题,比如头信息没有正确发送,或者服务器没有正确响应,所以需要强调服务器端的配置。另外,不同库的语法差异也需要明确,比如Axios的配置对象结构,或者Fetch的Headers对象使用。 还要考虑用户可能的其他需求,比如如何添加多个头信息,或者如何处理认证头(如Authorization)。是否需要提到安全方面的注意事项,比如敏感信息不应放在headers中?不过用户的问题比较基础,可能暂时不需要深入安全细节,但可以提及常见的安全实践。 最后,生成相关问题的时候,要考虑用户接下来可能遇到的问题,比如跨域处理、不同框架的具体用法、头信息的常见用途等。这样能帮助用户进一步学习相关知识点。</think>### AJAX请求中设置headers参数的完整指南 在AJAX请求中设置headers参数是实现身份验证、跨域请求、内容协商等功能的必要操作。以下是不同场景下的具体实现方式: #### 一、原生JavaScript实现 ```javascript var xhr = new XMLHttpRequest(); xhr.open('POST', '/api/data'); xhr.setRequestHeader('Content-Type', 'application/json'); xhr.setRequestHeader('X-Custom-Header', 'value123'); xhr.onreadystatechange = function() { if (xhr.readyState === 4 && xhr.status === 200) { console.log(xhr.responseText); } }; xhr.send(JSON.stringify({ key: 'value' })); ``` *关键点:每个header需单独调用setRequestHeader方法* #### 二、jQuery实现 ```javascript $.ajax({ url: '/api/data', type: 'POST', headers: { "Authorization": "Bearer token123", "X-Requested-With": "XMLHttpRequest" }, data: { key: 'value' }, success: function(response) { console.log(response); } }); ``` *注意:jQuery 1.5+版本支持headers参数[^1]* #### 三、Fetch API实现 ```javascript fetch('/api/data', { method: 'POST', headers: new Headers({ 'Content-Type': 'application/x-www-form-urlencoded', 'X-API-Version': '2.0' }), body: 'name=John&age=30' }); ``` *特性:支持Headers对象管理* #### 四、ExtJS实现(特殊框架) ```javascript Ext.Ajax.request({ url: 'tiqu_prdt', method: 'POST', headers: { "vn_token": token, "X-Custom-Header": "ext_value" }, success: function(response) { console.log(response); }, params: { page: 1 } }); ``` *注意:headers参数需直接配置在请求对象中[^1]* #### 五、Axios实现(现代方案) ```javascript axios.post('/api/data', { data: 'test' }, { headers: { 'Authorization': 'Basic xyz', 'Accept-Language': 'zh-CN' } }); ``` ### 关键注意事项 1. **跨域请求**:需配置服务器响应头 ```http Access-Control-Allow-Headers: accept, x-requested-with, Content-Type, X-Custom-Header ``` 确保包含所有自定义header[^2] 2. **安全头限制**:部分头(如`Cookie`, `Host`)受浏览器安全策略限制不可修改 3. **内容协商**:`Content-Type`头需与实际数据格式一致 4. **认证头处理**:推荐使用标准`Authorization`头携带令牌
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值