多次提交和重复刷新是web程序中容易被忽视但是却很重要的地方。比如一段程序在提交后就会转账,如果没做任何处理,用户多次刷新就会造成多次实际的转账发生,这样的程序是不能接受的。
对于多次提交问题。可以针对终端用户分为恶意的和非恶意的。
非恶意的多次提交,可以发生的场景如下:
1. 响应太慢,用户不知道之前是否提交成功,于是再次提交
2. 用户无聊,连续随便点击
3. 用户提交过到新页面之后,又误操作回退到之前的页面,然后再次提交
恶意的多次提交,可以发生的场景如下:
4. 黑客写程序对网站进行刷新的提交
很自然想到解决方法一,只需要在点击之后前端让按钮disable就行了,但是显然对于误用和恶意的情况只靠前端防护是不行的。
于是解决方法二则是后端的防护,在进入提交页面时服务器端当前用户session中存放一个随机token,并将token传给客户端,在提交时客户端将这个token传到服务器比对这个token是否一致。如果一致表示是第一次提交,修改服务器端这个token并返回客户端;如果不一致说明是重复提交,拒绝客户请求。
而根据token存放的位置,又可以再划分为下面几种方式:
1. token放在cookie中返回,优点是对前端来说是透明的,浏览器会自动将cookie中的token附带到下一次请求;缺点是,这种方式能防止多次提交,但是不能防止CSRF。
2. token放在response的content返回,前端代码解析后放到request中的参数列表中(即GET方式);这种方式可能需要前端代码做额外的附加动作,但是可以适用于一些不能使用cookie的场合,而且防止了CSRF。
3. token放到表单中的hidden域(即POST方式),在提交后,后端根据表单中的token来解析,好处是,防止了CSRF攻击