如何防止用户在网站上多次发布数据

Question

我正在开发一个 Web 应用程序 (J2EE)，我想知道可用于处理来自浏览器的双重发布的选项。

我过去看到和使用的解决方案都是客户端的：

• 用户单击提交按钮后立即将其禁用。
• 遵循 POST-Redirect-GET 模式以防止用户单击后退按钮时发生 POST。
• 处理表单的 onSubmit 事件并使用 JavaScript 跟踪提交状态。

如果可能的话，我更愿意实施服务器端解决方案。 是否有比我上面提到的更好的方法，或者客户端解决方案是最好的？

Answer 1

实现一个 uniqueid 来配合请求并将其与执行一起记录。 如果该 ID 已被记录，则您无需再次执行该作业。 这有点像后备解决方案 - 您应该尝试禁用按钮或链接客户端以及您自己的建议

Answer 2

如果您碰巧使用 Struts，它内置了类似的东西。

http://struts.apache.org/ 1.x/apidocs/org/apache/struts/util/TokenProcessor.html

Answer 3

您可以提供一个“票”作为表单的一部分，一些随机数 - 并确保它不会在服务器端被接受两次。

Answer 4

我想到了两种服务器端解决方案：

1. 在隐藏的表单字段中创建一次性使用“令牌”。 使用令牌后，它将从您存储它的任何数据库或会话上下文对象中删除。第二次，它不会被接受。
2. 缓存收到的信息，如果在特定时间段内（10 分钟？一个小时？您决定！）收到相同的表单，则会忽略该表单。

Answer 5

我们使用时间敏感的一次性票。 它就像某种会话 ID。 但它与表单/页面相关。

当用户提交页面时，您将丢弃票证，并且仅处理带有有效票证的页面。 同时，您可以通过将票证附加到用户来加强安全性，因此，如果票证是由非票证提交对象的用户提交的，您将拒绝该请求。

Answer 6

很难实施一个防白痴的解决方案（因为他们总是在改进白痴）。 无论您做什么，客户端都可能被操纵或执行不正确。

您的解决方案必须是服务器端才能可靠且安全。 > 也就是说，一种方法是检查请求并检查系统/数据库状态或日志以确定它是否已被处理。 理想情况下，如果可能的话，服务器端的进程应该是幂等的，如果不能的话，它必须防止重复提交。

Answer 7

我会使用时间戳并将值与您的服务器端代码进行比较。 如果两个时间戳足够接近并且具有相同的 IP 地址，则忽略第二个表单提交。