如何防止用户在网站上多次发布数据
-
02-07-2019 - |
题
我正在开发一个 Web 应用程序 (J2EE),我想知道可用于处理来自浏览器的双重发布的选项。
我过去见过和使用的解决方案都是客户端的:
- 用户单击提交按钮后立即将其禁用。
- 遵循 POST-Redirect-GET 模式以防止用户单击后退按钮时发生 POST。
- 处理表单的 onSubmit 事件并使用 JavaScript 跟踪提交状态。
如果可能的话,我更愿意实施服务器端解决方案。是否有比我上面提到的更好的方法,或者客户端解决方案是最好的?
解决方案
很难实施一个防白痴的解决方案(因为他们总是在改进白痴)。 无论您做什么,客户端都可能被操纵或执行不正确。
您的解决方案必须位于服务器端才能可靠且安全。 也就是说,一种方法是检查请求并检查系统/数据库状态或日志以确定它是否已被处理。理想情况下, 如果可能的话,服务器端的进程应该是幂等的, ,如果不能的话,它必须防止欺骗提交。
其他提示
您可以提供一个“票”作为表单的一部分,一些随机数 - 并确保它不会在服务器端被接受两次。
我想到了两种服务器端解决方案:
- 在隐藏表单字段中创建一次性使用“令牌”。使用令牌后,它将从您存储它的任何数据库或会话上下文对象中删除。第二次,不被接受。
- 缓存收到的信息,以及是否在一定时间段内(10分钟?一小时?你决定!)它被忽略。
实现一个 uniqueid 来配合请求并将其与执行一起记录。如果该 ID 已被记录,则您无需再次执行该工作。这有点像后备解决方案 - 您应该尝试禁用按钮或链接客户端以及您自己的建议
我们使用时间敏感的一次性票。它就像某种会话 ID。但它与表单/页面相关。
当用户提交页面时,您将丢弃票证,并且仅处理带有有效票证的页面。同时,您可以通过将票证附加到用户来加强安全性,因此,如果票证是由非票证提交对象的用户提交的,您将拒绝该请求。
如果您碰巧使用 Struts,它内置了类似的东西。
http://struts.apache.org/1.x/apidocs/org/apache/struts/util/TokenProcessor.html
我会使用时间戳并将值与您的服务器端代码进行比较。如果两个时间戳足够接近并且具有相同的 IP 地址,则忽略第二个表单提交。
不隶属于 StackOverflow