基于B／S架构的信息系统网页重入问题研究.pdfVIP

§ | ； 誊| 。 专 题F ZHUAN厂／LUNTA 基于B／S架构 的信息系统网页重入 问题研究 李 健 ，赵世慧，叶 娜 (陕西电力信通有限公司，陕西 西安 710004) 服务器，导致操作的重复提交。 O 引言 (3)后退／前进。服务器完成用户操作请求后， 通过使用浏览器后退 ／前进按钮 ，将前次操作重复执 随着 国家 电网公司 S“G186”工程 、“SG—ERP”、 行。 职能电网建设的深化与推进：已建成信息系统之间 不断集成与业务整合：新建业务应用系统不断涌现， 2 网页重入问题典型应用场景分析 企业信息化程度得到了极大的提升，信息系统已基 本覆盖了电网业务的各个领域 。信息化对企业 的发 网页重人问题一般在程序开发阶段引入 ，主要 展发挥了巨大的优势．同时对安全性也提出了严峻 原因是由于开发人员的忽视而引发 。 的考马佥”『，其中最容易忽视的问题就是网页重入问题I， 2．1 重复提交 、重复刷新场景分析 该问题很容易被恶意破坏者利用，从而对应用系统 在具体程序开发过程中，程序员经常这样处理 进行攻击，破坏数据完整性 ，造成数据冗余 ，使系统 数据 ：1)打开数据录入页面；2)用户录入数据 ，执 稳定性、安全性难以保证，严重时可能利用该问题执 行提交 ：3)服务器端获取数据 ，经过校验及运算后 行越权操作，窃取企业机密。 保持至数据库。问题往往发生在第二三步。如果程序员 在保存数据的同时再生成数据库主键值，并且 ，主键 1 网页重入问题的分类 不含有业务规则，除了主键外其余字段又没有设置 唯一性约束，那么这样的操作便可以重现，即通过重 网页重人问题经常导致服务器数据重复，使数 复提交或重复刷新 ．相同数据反复插入到数据库 中， 据唯一l生难以保证 ，严重时可导致服务器出错，甚至 造成数据库产生大量重复数据。此类问题可以通过 引发更为严重的安全问题 1【1。 连续多次点击页面按钮 ，或者当提交完操作后，连续 (1)重复提交。用户在浏览器相应页面中填写 反复刷新当前页面来验证。 完数据后，执行提交操作(通常为点击页面中相应按 2．2 前进 ／后退场景分析 钮)，但 由于网络请求延时、数据复杂运算等原因，用 各类浏览器的前进 ／后退按钮给用户带来 了很 户操作不能立即响应 ，此时，用户可能重复执行多次 大的方便 ，用户可以随时查看上一页网页或 已浏览 提交 ，多次点击页面按钮。 过的下一页网页内的信息。点击前进／后退按钮所展 (2)重复刷新。服务器接收用户操作请求后，在 现的信息都是从浏览器缓存 中读取的，即如此操作 浏览器中展现请求结果，此时用户执行刷新操作，浏 所呈现的信息是来 自于用户客户端，而不是远端服 览器会再次执行前次的请求操作并把相应信息发往 务器，从而影响速度。 收稿 日期 ：2010—07—21 作者简介：李 健 (1978～ )，男，河北滦南人，_『程师，从事电力企业信息系统的研发与管理丁作。