Jsp 防止表單重複提交幾種方案
阿新 • • 發佈:2018-12-30
SP避免Form重複提交的三種方案
1) javascript ,設定一個變數,只允許提交一次。
<script language="javascript">
var checksubmitflg = false;
function checksubmit() {
if (checksubmitflg == true) {
return false;
}
checksubmitflg = true;
return true;
}
document.ondblclick = function docondblclick() {
window.event.returnvalue = false;
}
document.onclick = function doconclick() {
if (checksubmitflg) {
window.event.returnvalue = false;
}
}
</script>
<html:form action="myaction.do" method="post" onsubmit="return checksubmit();">
2 )還是javascript,將提交按鈕或者image置為disable
<html:form action="myaction.do" method="post" >
onsubmit="getelbyid('submitinput').disabled = true; return true;">
<html:image styleid="submitinput" src="http://xuezhongfeicn.blog.163.com/blog/images/ok_b.gif" border="0" />
</html:form>
3 )利用struts的同步令牌機制
利用同步令牌(token)機制來解決web應用中重複提交的問題,struts也給出了一個參考實現。
基本原理:
伺服器端在處理到達的請求之前,會將請求中包含的令牌值與儲存在當前使用者會話中的令牌值進行比較,看是否匹配。在處理完該請求後,且在答覆傳送給客戶 端之前,將會產生一個新的令牌,該令牌除傳給客戶端以外,也會將使用者會話中儲存的舊的令牌進行替換。這樣如果使用者回退到剛才的提交頁面並再次提交的話,客 戶端傳過來的令牌就和伺服器端的令牌不一致,從而有效地防止了重複提交的發生。
if (istokenvalid(request, true)) {
// your code here
return mapping.findforward("success");
} else {
savetoken(request);
return mapping.findforward("submitagain");
}
struts根據使用者會話id和當前系統時間來生成一個唯一(對於每個會話)令牌的,具體實現可以參考tokenprocessor類中的generatetoken()方法。
1. //驗證事務控制令牌,<html:form >會自動根據session中標識生成一個隱含input代表令牌,防止兩次提交
2. 在action中:
//<input type="hidden" name="org.apache.struts.taglib.html.token" >
// value="6aa35341f25184fd996c4c918255c3ae">
if (!istokenvalid(request))
errors.add(actionerrors.global_error,
new actionerror("error.transaction.token"));
resettoken(request); //刪除session中的令牌
3. action有這樣的一個方法生成令牌
protected string generatetoken(httpservletrequest request) {
httpsession session = request.getsession();
try {
byte id[] = session.getid().getbytes();
byte now[] =
new long(system.currenttimemillis()).tostring().getbytes();
messagedigest md = messagedigest.getinstance("md5");
md.update(id);
md.update(now);
return (tohex(md.digest()));
} catch (illegalstateexception e) {
return (null);
} catch (nosuchalgorithmexception e) {
return (null);
}
}
用Struts的Token機制解決表單重複提交2006-09-11 09:23
Struts的Token(令牌)機制能夠很好的解決表單重複提交的問題,基本原理是:伺服器端在處理到達的請求之前,會將請求中包含的令牌值與儲存在當 前使用者會話中的令牌值進行比較,看是否匹配。在處理完該請求後,且在答覆傳送給客戶端之前,將會產生一個新的令牌,該令牌除傳給客戶端以外,也會將使用者會 話中儲存的舊的令牌進行替換。這樣如果使用者回退到剛才的提交頁面並再次提交的話,客戶端傳過來的令牌就和伺服器端的令牌不一致,從而有效地防止了重複提交 的發生。
這時其實也就是兩點,第一:你需要在請求中有這個令牌值,請求中的令牌值如何儲存,其實就和我們平時在頁面中儲存一些資訊是一樣的,通過隱藏欄位來保 存,儲存的形式如: 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,這個value是TokenProcessor類中的 generateToken()獲得的,是根據當前使用者的session id和當前時間的long值來計算的。第二:在客戶端提交後,我們要根據判斷在請求中包含的值是否和伺服器的令牌一致,因為伺服器每次提交都會生成新的 Token,所以,如果是重複提交,客戶端的Token值和伺服器端的Token值就會不一致。下面就以在資料庫中插入一條資料來說明如何防止重複提交。
在Action中的add方法中,我們需要將Token值明確的要求儲存在頁面中,只需增加一條語句:saveToken(request);,如下所示:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
//前面的處理省略
saveToken(request);
return mapping.findForward("add");
}在Action的insert方法中,我們根據表單中的Token值與伺服器端的Token值比較,如下所示:
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
}
其實使用起來很簡單,舉個最簡單、最需要使用這個的例子:
一般控制重複提交主要是用在對資料庫操作的控制上,比如插入、更新、刪除等,由於更新、刪除一般都是通過id來操作(例 如:updateXXXById, removeXXXById),所以這類操作控制的意義不是很大(不排除個別現象),重複提交的控制也就主要是在插入時的控制了。
先說一下,我們目前所做專案的情況:
目前的專案是用Struts+Spring+Ibatis,頁面用jstl,Struts複雜View層,Spring在Service層提供事務控 制,Ibatis是用來代替JDBC,所有頁面的訪問都不是直接訪問jsp,而是訪問Structs的Action,再由Action來Forward到 一個Jsp,所有針對資料庫的操作,比如取資料或修改資料,都是在Action裡面完成,所有的Action一般都繼承 BaseDispatchAction,這個是自己建立的類,目的是為所有的Action做一些統一的控制,在Struts層,對於一個功能,我們一般分 為兩個Action,一個Action裡的功能是不需要呼叫Struts的驗證功能的(常見的方法名稱有 add,edit,remove,view,list),另一個是需要呼叫Struts的驗證功能的(常見的方法名稱有insert,update)。
就拿論壇發貼來說吧,論壇發貼首先需要跳轉到一個頁面,你可以填寫帖子的主題和內容,填寫完後,單擊“提交”,貼子就發表了,所以這裡經過兩個步驟:
1、轉到一個新增的頁面,在Action裡我們一般稱為add,例如:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
//這一句是輸出除錯資訊,表示程式碼執行到這一段了
log.debug(":: action - subject add");
//your code here
//這裡儲存Token值
saveToken(request);
//跳轉到add頁面,在Structs-config.xml裡面定義,例如,跳轉到subjectAdd.jsp
return mapping.findForward("add");
}
2、在填寫標題和內容後,選擇 提交 ,會提交到insert方法,在insert方法裡判斷,是否重複提交了。
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response){
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
}
下面更詳細一點(注意,下面所有的程式碼使用全形括號):
1、你想發貼時,點選“我要發貼”連結的程式碼可以裡這樣的:
〈html:link action="subject.do?method=add"〉我要發貼〈/html:link〉
subject.do 和 method 這些在struct-config.xml如何定義我就不說了,點選連結後,會執行subject.do的add方法,程式碼如上面說的,跳轉到subjectAdd.jsp頁面。頁面的程式碼大概如下:
〈html:form action="subjectForm.do?method=insert"〉
〈html:text property="title" /〉
〈html:textarea property="content" /〉
〈html:submit property="發表" /〉
〈html:reset property="重填" /〉
〈html:form〉
如果你在add方法里加了“saveToken(request);”這一句,那在subjectAdd.jsp生成的頁面上,會多一個隱藏欄位,類 似於這樣〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,
2、點擊發表後,表單提交到subjectForm.do裡的insert方法後,你在insert方法裡要將表單的資料插入到資料庫中,如果沒有進 行重複提交的控制,那麼每點選一次瀏覽器的重新整理按鈕,都會在資料庫中插入一條相同的記錄,增加下面的程式碼,你就可以控制使用者的重複提交了。
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
注意,你必須在add方法裡使用了saveToken(request),你才能在insert裡判斷,否則,你每次儲存操作都是重複提交。
記住一點,Struts在你每次訪問Action的時候,都會產生一個令牌,儲存在你的Session裡面,如果你在Action裡的函式裡面,使用 了saveToken(request);,那麼這個令牌也會儲存在這個Action所Forward到的jsp所生成的靜態頁面裡。
如果你在你Action的方法裡使用了isTokenValid,那麼Struts會將你從你的request裡面去獲取這個令牌值,然後和Session裡的令牌值做比較,如果兩者相等,就不是重複提交,如果不相等,就是重複提交了。
由於我們專案的所有Action都是繼承自BaseDispatchAction這個類,所以我們基本上都是在這個類裡面做了表單重複提交的控制,默 認是控制add方法和insert方法,如果需要控制其它的方法,就自己手動寫上面這些程式碼,否則是不需要手寫的,控制的程式碼如下:
public abstract class BaseDispatchAction extends BaseAction {
protected ActionForward perform(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
String parameter = mapping.getParameter();
String name = request.getParameter(parameter);
if (null == name) { //如果沒有指定 method ,則預設為 list
name = "list";
}
if ("add".equals(name)) {
if ("add".equals(name)) {
saveToken(request);
}
} else if ("insert".equals(name)) {
if (!isTokenValid(request, true)) {
resetToken(request);
saveError(request, new ActionMessage("error.repeatSubmit"));
log.error("重複提交!");
return mapping.findForward("error");
}
}
return dispatchMethod2(mapping, form, request, response, name);
}
}
1) javascript ,設定一個變數,只允許提交一次。
<script language="javascript">
var checksubmitflg = false;
function checksubmit() {
if (checksubmitflg == true) {
return false;
}
checksubmitflg = true;
return true;
}
document.ondblclick = function docondblclick() {
window.event.returnvalue = false;
}
document.onclick = function doconclick() {
if (checksubmitflg) {
window.event.returnvalue = false;
}
}
</script>
<html:form action="myaction.do" method="post" onsubmit="return checksubmit();">
2 )還是javascript,將提交按鈕或者image置為disable
<html:form action="myaction.do" method="post" >
onsubmit="getelbyid('submitinput').disabled = true; return true;">
<html:image styleid="submitinput" src="http://xuezhongfeicn.blog.163.com/blog/images/ok_b.gif" border="0" />
</html:form>
3 )利用struts的同步令牌機制
利用同步令牌(token)機制來解決web應用中重複提交的問題,struts也給出了一個參考實現。
基本原理:
伺服器端在處理到達的請求之前,會將請求中包含的令牌值與儲存在當前使用者會話中的令牌值進行比較,看是否匹配。在處理完該請求後,且在答覆傳送給客戶 端之前,將會產生一個新的令牌,該令牌除傳給客戶端以外,也會將使用者會話中儲存的舊的令牌進行替換。這樣如果使用者回退到剛才的提交頁面並再次提交的話,客 戶端傳過來的令牌就和伺服器端的令牌不一致,從而有效地防止了重複提交的發生。
if (istokenvalid(request, true)) {
// your code here
return mapping.findforward("success");
} else {
savetoken(request);
return mapping.findforward("submitagain");
}
struts根據使用者會話id和當前系統時間來生成一個唯一(對於每個會話)令牌的,具體實現可以參考tokenprocessor類中的generatetoken()方法。
1. //驗證事務控制令牌,<html:form >會自動根據session中標識生成一個隱含input代表令牌,防止兩次提交
2. 在action中:
//<input type="hidden" name="org.apache.struts.taglib.html.token" >
// value="6aa35341f25184fd996c4c918255c3ae">
if (!istokenvalid(request))
errors.add(actionerrors.global_error,
new actionerror("error.transaction.token"));
resettoken(request); //刪除session中的令牌
3. action有這樣的一個方法生成令牌
protected string generatetoken(httpservletrequest request) {
httpsession session = request.getsession();
try {
byte id[] = session.getid().getbytes();
byte now[] =
new long(system.currenttimemillis()).tostring().getbytes();
messagedigest md = messagedigest.getinstance("md5");
md.update(id);
md.update(now);
return (tohex(md.digest()));
} catch (illegalstateexception e) {
return (null);
} catch (nosuchalgorithmexception e) {
return (null);
}
}
用Struts的Token機制解決表單重複提交2006-09-11 09:23
Struts的Token(令牌)機制能夠很好的解決表單重複提交的問題,基本原理是:伺服器端在處理到達的請求之前,會將請求中包含的令牌值與儲存在當 前使用者會話中的令牌值進行比較,看是否匹配。在處理完該請求後,且在答覆傳送給客戶端之前,將會產生一個新的令牌,該令牌除傳給客戶端以外,也會將使用者會 話中儲存的舊的令牌進行替換。這樣如果使用者回退到剛才的提交頁面並再次提交的話,客戶端傳過來的令牌就和伺服器端的令牌不一致,從而有效地防止了重複提交 的發生。
這時其實也就是兩點,第一:你需要在請求中有這個令牌值,請求中的令牌值如何儲存,其實就和我們平時在頁面中儲存一些資訊是一樣的,通過隱藏欄位來保 存,儲存的形式如: 〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,這個value是TokenProcessor類中的 generateToken()獲得的,是根據當前使用者的session id和當前時間的long值來計算的。第二:在客戶端提交後,我們要根據判斷在請求中包含的值是否和伺服器的令牌一致,因為伺服器每次提交都會生成新的 Token,所以,如果是重複提交,客戶端的Token值和伺服器端的Token值就會不一致。下面就以在資料庫中插入一條資料來說明如何防止重複提交。
在Action中的add方法中,我們需要將Token值明確的要求儲存在頁面中,只需增加一條語句:saveToken(request);,如下所示:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
//前面的處理省略
saveToken(request);
return mapping.findForward("add");
}在Action的insert方法中,我們根據表單中的Token值與伺服器端的Token值比較,如下所示:
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
}
其實使用起來很簡單,舉個最簡單、最需要使用這個的例子:
一般控制重複提交主要是用在對資料庫操作的控制上,比如插入、更新、刪除等,由於更新、刪除一般都是通過id來操作(例 如:updateXXXById, removeXXXById),所以這類操作控制的意義不是很大(不排除個別現象),重複提交的控制也就主要是在插入時的控制了。
先說一下,我們目前所做專案的情況:
目前的專案是用Struts+Spring+Ibatis,頁面用jstl,Struts複雜View層,Spring在Service層提供事務控 制,Ibatis是用來代替JDBC,所有頁面的訪問都不是直接訪問jsp,而是訪問Structs的Action,再由Action來Forward到 一個Jsp,所有針對資料庫的操作,比如取資料或修改資料,都是在Action裡面完成,所有的Action一般都繼承 BaseDispatchAction,這個是自己建立的類,目的是為所有的Action做一些統一的控制,在Struts層,對於一個功能,我們一般分 為兩個Action,一個Action裡的功能是不需要呼叫Struts的驗證功能的(常見的方法名稱有 add,edit,remove,view,list),另一個是需要呼叫Struts的驗證功能的(常見的方法名稱有insert,update)。
就拿論壇發貼來說吧,論壇發貼首先需要跳轉到一個頁面,你可以填寫帖子的主題和內容,填寫完後,單擊“提交”,貼子就發表了,所以這裡經過兩個步驟:
1、轉到一個新增的頁面,在Action裡我們一般稱為add,例如:
public ActionForward add(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
//這一句是輸出除錯資訊,表示程式碼執行到這一段了
log.debug(":: action - subject add");
//your code here
//這裡儲存Token值
saveToken(request);
//跳轉到add頁面,在Structs-config.xml裡面定義,例如,跳轉到subjectAdd.jsp
return mapping.findForward("add");
}
2、在填寫標題和內容後,選擇 提交 ,會提交到insert方法,在insert方法裡判斷,是否重複提交了。
public ActionForward insert(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response){
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
}
下面更詳細一點(注意,下面所有的程式碼使用全形括號):
1、你想發貼時,點選“我要發貼”連結的程式碼可以裡這樣的:
〈html:link action="subject.do?method=add"〉我要發貼〈/html:link〉
subject.do 和 method 這些在struct-config.xml如何定義我就不說了,點選連結後,會執行subject.do的add方法,程式碼如上面說的,跳轉到subjectAdd.jsp頁面。頁面的程式碼大概如下:
〈html:form action="subjectForm.do?method=insert"〉
〈html:text property="title" /〉
〈html:textarea property="content" /〉
〈html:submit property="發表" /〉
〈html:reset property="重填" /〉
〈html:form〉
如果你在add方法里加了“saveToken(request);”這一句,那在subjectAdd.jsp生成的頁面上,會多一個隱藏欄位,類 似於這樣〈input type="hidden" name="org.apache.struts.taglib.html.TOKEN" value="6aa35341f25184fd996c4c918255c3ae"〉,
2、點擊發表後,表單提交到subjectForm.do裡的insert方法後,你在insert方法裡要將表單的資料插入到資料庫中,如果沒有進 行重複提交的控制,那麼每點選一次瀏覽器的重新整理按鈕,都會在資料庫中插入一條相同的記錄,增加下面的程式碼,你就可以控制使用者的重複提交了。
if (isTokenValid(request, true)) {
// 表單不是重複提交
//這裡是儲存資料的程式碼
} else {
//表單重複提交
saveToken(request);
//其它的處理程式碼
}
注意,你必須在add方法裡使用了saveToken(request),你才能在insert裡判斷,否則,你每次儲存操作都是重複提交。
記住一點,Struts在你每次訪問Action的時候,都會產生一個令牌,儲存在你的Session裡面,如果你在Action裡的函式裡面,使用 了saveToken(request);,那麼這個令牌也會儲存在這個Action所Forward到的jsp所生成的靜態頁面裡。
如果你在你Action的方法裡使用了isTokenValid,那麼Struts會將你從你的request裡面去獲取這個令牌值,然後和Session裡的令牌值做比較,如果兩者相等,就不是重複提交,如果不相等,就是重複提交了。
由於我們專案的所有Action都是繼承自BaseDispatchAction這個類,所以我們基本上都是在這個類裡面做了表單重複提交的控制,默 認是控制add方法和insert方法,如果需要控制其它的方法,就自己手動寫上面這些程式碼,否則是不需要手寫的,控制的程式碼如下:
public abstract class BaseDispatchAction extends BaseAction {
protected ActionForward perform(ActionMapping mapping, ActionForm form,
HttpServletRequest request, HttpServletResponse response)
throws Exception {
String parameter = mapping.getParameter();
String name = request.getParameter(parameter);
if (null == name) { //如果沒有指定 method ,則預設為 list
name = "list";
}
if ("add".equals(name)) {
if ("add".equals(name)) {
saveToken(request);
}
} else if ("insert".equals(name)) {
if (!isTokenValid(request, true)) {
resetToken(request);
saveError(request, new ActionMessage("error.repeatSubmit"));
log.error("重複提交!");
return mapping.findForward("error");
}
}
return dispatchMethod2(mapping, form, request, response, name);
}
}