如何防止用户在网站上多次发布数据

Question

我正在开发一个 Web 应用程序 (J2EE)，我想知道可用于处理来自浏览器的双重发布的选项。

我过去见过和使用的解决方案都是客户端的：

• 用户单击提交按钮后立即将其禁用。
• 遵循 POST-Redirect-GET 模式以防止用户单击后退按钮时发生 POST。
• 处理表单的 onSubmit 事件并使用 JavaScript 跟踪提交状态。

如果可能的话，我更愿意实施服务器端解决方案。是否有比我上面提到的更好的方法，或者客户端解决方案是最好的？

Answer 1

很难实施一个防白痴的解决方案（因为他们总是在改进白痴）。 无论您做什么，客户端都可能被操纵或执行不正确。

您的解决方案必须位于服务器端才能可靠且安全。 也就是说，一种方法是检查请求并检查系统/数据库状态或日志以确定它是否已被处理。理想情况下， 如果可能的话，服务器端的进程应该是幂等的, ，如果不能的话，它必须防止欺骗提交。

Answer 2

您可以提供一个“票”作为表单的一部分，一些随机数 - 并确保它不会在服务器端被接受两次。

Answer 3

我想到了两种服务器端解决方案：

1. 在隐藏表单字段中创建一次性使用“令牌”。使用令牌后，它将从您存储它的任何数据库或会话上下文对象中删除。第二次，不被接受。
2. 缓存收到的信息，以及是否在一定时间段内（10分钟？一小时？你决定！）它被忽略。

Answer 4

实现一个 uniqueid 来配合请求并将其与执行一起记录。如果该 ID 已被记录，则您无需再次执行该工作。这有点像后备解决方案 - 您应该尝试禁用按钮或链接客户端以及您自己的建议

Answer 5

我们使用时间敏感的一次性票。它就像某种会话 ID。但它与表单/页面相关。

当用户提交页面时，您将丢弃票证，并且仅处理带有有效票证的页面。同时，您可以通过将票证附加到用户来加强安全性，因此，如果票证是由非票证提交对象的用户提交的，您将拒绝该请求。

Answer 6

如果您碰巧使用 Struts，它内置了类似的东西。

http://struts.apache.org/1.x/apidocs/org/apache/struts/util/TokenProcessor.html

Answer 7

我会使用时间戳并将值与您的服务器端代码进行比较。如果两个时间戳足够接近并且具有相同的 IP 地址，则忽略第二个表单提交。