[转]Java防止非法和重复表单提交的分析
来源:http://blog.csdn.net/
第一,对于不支持POST的,可以简单的使用如下代码
![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619616.gif)
if?("POST".equals(request.getMethod()))?{![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619617.gif)
??//?正常进行}else{??//?异常请求??out.print("异常访问");??return;![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619618.gif)
}
如果是servlet,?可以将doGet方法直接返回,不进行处理就行了
public?void?doGet(HttpServletRequest?request,?HttpServletResponse?response)?{??return;}public?void?doPost(HttpServletRequest?request,?HttpServletResponse?response)?{??//?正常进行操作}
还可以采用特定的标志来区分,比如?
![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619619.gif)
<form><input?type="hidden"?name="action"?value="insert"/></form>?
程序里这样判断
if?("POST".equals(request.getMethod())?&&?("insert".equals(request.getParameter("action"))))?{??//?正常进行}else{??//?异常请求??out.print("异常访问");??return;}
第二,判断提交的来源referer,代码如下
if?("POST".equals(request.getMethod()))?{??String?referer?=?request.getHeader("referer");![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619620.gif)
??if?(referer?==?null?||?!referer.startsWith("http://"+request.getServerName()))?{????//?非法来源????return;![[转]Java防止非法跟重复表单提交的分析](http://img.reader8.net/uploadfile/jiaocheng/20140140/2733/2014012719330619621.gif)
??}??//?正常进行}else{??//?异常请求??out.print("异常访问");??return;}
第三?防止重复提交的hashCode?
在表单显示页面
??//生成一个formhash,算法可以自己定,不随便重复就可以了??String?formhash?=?MD5.encode(Long.toString(new?Date().getTime()));??//读取当前session里面的hashCode集合,此处使用了Set,方便判断。??Set<String>?formhashSession?=?(Set<String>)?session.getAttribute("formhashSession");??if?(formhashSession?==?null)?{????formhashSession?=?new?HashSet<String>();??}??//?检测重复问题??while?(formhashSession.contains(formhash))?{????formhash?=?MD5.encode(Long.toString(new?Date().getTime()));??}??//?保存到session里面??formhashSession.add(formhash);??//?保存??session.setAttribute("formhashSession",?formhashSession);
表单里面增加如下字段
<input?type="hidden"?name="formhash"?id="formhash"?value="<%=formhash%>"?/>?
在表单提交页面进行如下处理
????//?拿到表单的formhash????String?formhash?=?upload.getParameter("formhash");????//?拿到session里面的集合????Set<String>?formhashSession?=?(Set<String>)?session.getAttribute("formhashSession");????//?如果没有,则是重复提交,或者非法提交????if?(formhashSession?==?null?||?!formhashSession.contains(formhash))?{??????out.println("请不要重复提交!");??????return;????}????//?下面进行其它的操作????//?????//?最后,如果操作成功,从session里面把这个formhash?删掉!????//?以免用户少填写了某个字段,造成表单无法再次提交????formhashSession.remove(formhash);????session.setAttribute("formhashSession",?formhashSession);?