防Post提交

最新推荐文章于 2021-08-14 11:29:50 发布
最新推荐文章于 2021-08-14 11:29:50 发布
阅读量1.3k 收藏
点赞数
分类专栏: Asp.Net2.0 文章标签: string server null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zwei1121/article/details/2601555
版权

public static bool CheckUrl()
        {
            Uri ComeUrl = HttpContext.Current.Request.UrlReferrer;
            string cUrl;
            if (ComeUrl == null)
            { return false; }
            else
            {
                string reffer = ComeUrl.ToString();
                cUrl = "http://" + HttpContext.Current.Request.ServerVariables["SERVER_NAME"];


                if (reffer.Substring(cUrl.Length, 1) == ":")
                {
                    cUrl += ":" + HttpContext.Current.Request.ServerVariables["SERVER_PORT"].ToString();
                }
                int lenth;
                lenth = cUrl.Length;
                cUrl += HttpContext.Current.Request.ServerVariables["SCRIPT_NAME"];
                int result;
                result = String.Compare(reffer, 1, cUrl, 1, lenth, true);
                return (result == 0);
            }
        }

止GET,Post注入和止服务器攻击
01-29
止GET,Post注入和止服务器攻击下载后直接修改名字放在asp空件测试就可以看到效果了
post表单止注入
01-22
post表单,这个不知道大家会不会,传上来分享一下,呵呵
phppost伪造,如何止php中伪造跨站的请求
weixin_31162247的博客
03-20 281
伪造跨站请求一般都是很难范的,可以在用户不知情的情况下访问系统,一般攻击者都通过这种方式恶作剧,发spam信息,删除数据等,那么要如何止php中伪造跨站的请求。伪造跨站请求介绍伪造跨站请求比较难以范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:伪造链接,引诱用户点击,或是让用户在不知情的情况下访问伪造表单,引诱用户提交。表单可以是隐藏的...
php POST重复提交
小李李
03-04 761
<input name="sub_rand" type="hidden" id="sub_rand" value="<?php echo rand(10000,100000000000);?>" /> if($_SESSION['SUB']==$_POST['sub_rand']){     echo '<script>alert("
十分钟内学会 避免用户刷新导致重复POST提交
10-29
为了避免用户刷新导致的重复POST提交,常见的解决方案是采用PRG模式,也就是Post-Redirect-Get。PRG模式的核心思想是,在用户提交数据之后,服务器不是直接返回目标页面(通常是提交成功后的结果页面),而是返回一...
解决vue中post方式提交数据后台无法接收的问题
10-18
在Vue.js应用中,POST方式提交数据到后台时,可能会遇到数据无法被后台正确接收的问题。这通常是由于数据格式不正确或与后端接口的预期格式不匹配导致的。本文将详细探讨这个问题,并提供解决方案。 首先,理解POST...
解决laravel 表单提交-POST 异常的问题
10-16
在 Laravel 框架中,表单提交POST异常通常是由于CSRF(Cross-site Request Forgery)护机制引发的。Laravel 内置了强大的CSRF保护,以止恶意第三方在用户浏览器中伪造请求到你的应用。为了理解这个问题,首先我们...
Django解决Ajax中post提交数据403的代码
09-15
Django内置了CSRF保护,目的是止恶意第三方在用户浏览器中通过Ajax或表单提交伪造请求。每个表单和Ajax请求都需要一个CSRF令牌,这个令牌是由Django自动生成并存储在用户的session或者cookie中的。服务器会验证每...
jquery-showloading遮罩层-重复提交
09-21
"jquery-showloading遮罩层-重复提交"是一款基于jQuery的插件,它旨在解决用户可能误点击导致的重复提交问题,并提供良好的加载反馈,提升用户体验。这款插件通过创建一个遮罩层来阻止用户在数据处理期间进行额外...
post请求跳转页面_安全小课堂第134期【浅谈URL跳转漏洞的挖掘与御】
weixin_39957934的博客
12-03 699
随着业务发展,越来越多的Web应用需要与公司内部其他应用甚至外部第三方应用交互,将用户引导至不同功能页面。在不同功能页面跳转的过程中难免出现一种常见且利用门槛较低的漏洞——URL跳转漏洞,该漏洞像XSS一样有多种绕过方式,御过程中也常出现意想不到的情况。JSRC安全小课堂第134期,邀请到ChangeS师傅就URL跳转漏洞的挖掘与御为大家进行分享。同时感谢白帽子们的精彩讨论。URL...
重复请求处理的实践与总结
糖糖糖糖糖先森
10-30 2096
#重复处理总结 ##背景 在业务开发中,我们常会面对止重复请求的问题。当服务端对于请求的响应涉及数据的修改,或状态的变更时,可能会造成极大的危害。重复请求的后果在交易系统、售后维权,以及支付系统中尤其严重。 前台操作的抖动,快速操作,网络通信或者后端响应慢,都会增加后端重复处理的概率。 前台操作去抖动和快速操作的措施,我们首先会想到在前端做一层控制。当前端触发操作时,或弹出确
POST自动提交的方法
一直问自己怎样才能把程序写的更好? 编程境界:干净利落,没有任何多余步骤。 动态能力:反应,逻辑思维
10-13 1132
<br /><?php <br />/** <br />* Socket版本 <br />* 使用方法: <br />* $post_string = "app=socket&version=beta"; <br />* request_by_socket('facebook.cn','/restServer.php',$post_string); <br />*/ <br />function request_by_socket($remote_server,$remote_path,$post_stri
CSRF跨站请求伪造的GET情况和POST情况攻击和御详解
Zeker62的博客
08-14 5113
CSRF 英文名:cross-site request forgery 叫做跨站请求伪造 CSRF不是很流行,但是具有很高的危险性,相比于XSS更加难以范。 CSRF攻击效果:攻击者盗用身份,以被害者的姓名执行某些非法操作。比如使用账户发邮件、获取敏感信息,盗取银行账户。 CSRF攻击原理 当打开某个网站的时候,可以在网站上 进行一些操作,比如发邮件发消息 当结束会话的时候,这个网站可能会让你重新登录,或者提示身份过期,这是这个web在范CSRF攻击的手段。 CSRF攻击是建立在会话之上的,比如.
springboot 重复提交
最新发布
03-14
<think>好的,用户想了解在Spring Boot应用中止重复提交表单的方法。首先,我需要回忆一下常见的解决方案。可能有前端和后端两种方式。前端的话,比如提交后禁用按钮,止用户多次点击。但前端不可靠,因为用户可以绕过,所以后端也需要处理。 后端方面,我记得有几种方法。一种是使用Token机制,比如同步器令牌模式。每次生成表单时,服务器生成一个唯一Token,存到Session或者缓存里,提交的时候验证这个Token是否存在,存在就处理并删除,止重复使用。这种方法应该可行,但需要考虑分布式环境下如何存储Token,可能需要用Redis这样的分布式缓存。 另一种方法可能是基于请求的指纹,比如用户ID、时间戳、参数等生成一个唯一标识,在一段时间内不允许重复提交。或者用注解的方式,通过AOP拦截请求,检查是否重复。比如自定义一个@NoDuplicateSubmission注解,结合拦截器或者过滤器来实现。 还有可能利用数据库的唯一约束,比如在提交时插入一条记录,包含请求的唯一标识,如果重复提交就会触发唯一约束异常,从而阻止重复处理。不过这种方法可能对数据库压力较大,需要权衡。 另外,可能还可以使用Spring的@Cacheable或者自定义的锁机制,比如在方法上加锁,保证同一用户同一操作只能执行一次。或者使用分布式锁,比如Redisson,来处理集群环境下的并发问题。 需要验证这些方法的可行性。比如Token机制,用户可能打开多个标签页,这时候每个表单需要不同的Token。另外,处理完请求后需要及时删除Token,避免并发问题。而AOP的方式可能需要考虑方法的粒度,是全局还是针对某些接口。 还要考虑用户体验,比如前端禁用按钮后,如果后端处理时间较长,是否需要重新启用按钮。或者提供友好的提示,告知用户请求正在处理中,请勿重复提交。 可能还需要参考一些现有的库或者Spring生态中的组件,比如Spring Session,或者使用Hibernate Validator的自定义注解。或者利用拦截器,在preHandle方法中检查请求是否重复。 另外,HTTP的幂等性设计可能也是一个点,比如POST请求不是幂等的,但可以通过服务端设计使其幂等,比如使用PUT方法,或者服务端记录处理状态。 现在需要整理这些方法,给出具体的实现步骤,比如使用Token机制的具体代码示例,或者AOP拦截器的配置。同时要注意引用相关的资料,比如Spring官方文档中的重复提交建议,或者社区的最佳实践。 可能还需要提到使用Redis来存储Token或者请求标识,确保在分布式环境下的一致性。比如,在生成表单时,将Token存入Redis,过期时间设置短一些,提交时从Redis中检查是否存在并删除。 另外,止重复提交的时间窗口也需要考虑,比如同一用户同一操作在5秒内只能提交一次,可以通过Redis的过期时间来控制。 最后,需要总结这些方法的优缺点,比如前端方法简单但不可靠,后端Token机制可靠但需要额外处理,分布式环境下需要中间件支持等。根据用户的具体场景选择合适的方案。</think>在Spring Boot应用中止重复提交表单的常见解决方案可分为前端控制与后端验证两类。以下是具体实现方案: ### 一、前端控制方案 1. **按钮禁用** 提交后立即禁用按钮并显示加载状态: ```javascript document.getElementById('submitBtn').addEventListener('click', function() { this.disabled = true; this.innerHTML = '提交中...'; }); ``` *缺点:用户可能通过刷新页面绕过* ### 二、后端验证方案 #### 1. 同步器令牌模式(Synchronizer Token Pattern) **实现步骤**: - **生成Token**:在表单渲染时生成唯一Token ```java @GetMapping("/form") public String showForm(Model model, HttpSession session) { String token = UUID.randomUUID().toString(); session.setAttribute("FORM_TOKEN", token); // 生产环境建议用Redis model.addAttribute("token", token); return "form-page"; } ``` - **验证Token**:提交时校验并移除Token ```java @PostMapping("/submit") public String handleSubmit(@RequestParam String token, HttpSession session) { String sessionToken = (String) session.getAttribute("FORM_TOKEN"); if (sessionToken == null || !sessionToken.equals(token)) { throw new DuplicateSubmissionException("重复提交拒绝"); } session.removeAttribute("FORM_TOKEN"); // 处理业务逻辑 return "success"; } ``` #### 2. 基于AOP的注解控制 **自定义注解**: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface PreventDuplicate { int timeout() default 5; // 单位:秒 } ``` **AOP切面实现**: ```java @Aspect @Component public class DuplicateSubmitAspect { @Autowired private RedisTemplate<String, String> redisTemplate; @Around("@annotation(preventDuplicate)") public Object checkDuplicate(ProceedingJoinPoint joinPoint, PreventDuplicate preventDuplicate) throws Throwable { ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes(); HttpServletRequest request = attributes.getRequest(); String userId = getCurrentUserId(); // 获取用户标识 String uri = request.getRequestURI(); String key = "SUBMIT:" + userId + ":" + uri; if (redisTemplate.opsForValue().get(key) != null) { throw new DuplicateSubmissionException("操作过于频繁"); } redisTemplate.opsForValue().set(key, "LOCKED", preventDuplicate.timeout(), TimeUnit.SECONDS); try { return joinPoint.proceed(); } finally { // 可根据业务需求决定是否立即删除 } } } ``` #### 3. 幂等性设计 对关键业务接口设计幂等性: ```java @PostMapping("/payment") public ResponseEntity<?> createPayment(@RequestBody PaymentRequest request, @RequestHeader("X-Idempotency-Key") String idempotencyKey) { if (paymentService.existsByIdempotencyKey(idempotencyKey)) { return ResponseEntity.ok().body(Map.of("status", "already_processed")); } // 处理支付逻辑 return ResponseEntity.ok().build(); } ``` ### 三、混合方案建议 1. **前端+后端双重验证** 组合按钮禁用与令牌验证,提升用户体验与安全性 2. **分布式环境处理** 使用Redis存储Token/锁,确保集群环境一致性[^1] 3. **异常处理优化** 返回明确错误码(如HTTP 429 Too Many Requests)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值