基于JavaWeb技术表单重复提交问题解决方案分析与应用.docVIP

基于JavaWeb技术表单重复提交问题解决方案分析与应用 　　摘要：在基于B/S架构的JavaWeb项目开发中都会涉及到表单的重复提交问题，传统的解决方案与技术也很多，但大多都存在代码安全漏洞，不能从根本上解决表单的重复提交问题，该文作者针对这类问题，通过把JavaScript、Session会话、隐藏表单、Base64编码、Servlet，以及Struts2框架中的token令牌等技术进行综合应用，给出了一个解决表单重复提交问题的终极方案。 　　关键词：JavaWeb；表单重复提交；Session会话；Servlet；token令牌 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）35-7966-02 　　随着信息化和网络化技术的飞速发展，越来越多的企事业单位选择采用基于B/S架构的JavaWeb技术进行业务应用系统的研发。但在所有的项目开发中都会涉及到表单的重复提交问题，传统的解决方案主要是通过JavaScript技术、或使用一些页面框架技术，如FrameSet等、或通过对使用者隐藏路径等方式来规避这类问题，但这些技术都存在一定的安全漏洞，都不能从根本上解决表单的重复提交问题。该文通过开发某企业的人事管理系统中的部门管理模块中的部门添加功能实现，并解决表单重复提交问题为应用背景，分析了表单重复提交安全问题存在的原因，并给出了表单重复提交问题的终极解决方案的详细步骤。 　　1 表单重复提交安全问题存在原因分析 　　表单重复提交的安全隐患主要通过两种方式来体现，第一是通过快速连续多次单击或点击浏览器中的回退按钮再次单击提交部门添加页面中的按钮来实现，其二是通过刷新请求页面或手动输入部门添加页面请求的Servlet路径来实现。对于第一种方式，传统的解决方式是使用JavaScript代码把按钮设置成不可用，或弹出重复提交的对话框来实现，但使用者可以绕过JavaScript代码访问，所以这种方式还是不安全的，对于第二种方式传统的解决方式是通过使用一些页面框架，并隐藏提交表单的路径来达到防止重复提交，实验证明这也是不安全的。 　　2 表单重复提交问题解决方案实现 　　该方案的思想是在添加部门页面的表单中增加一个隐藏字段token，该字段的值是通过Java脚本代码产生一个随机数，为了该随机数???绝对安全，我们可以通过一个工具类来获得一个随机数，并对随机数进行MD5加密，为了生成随机数的可读性我们再对加密的字符使用Base64算法进行明文转换，并把该随机数设置到Session会话域中，在对应的提交请求Servlet类中进行隐藏字段值和Session域中值的获取与比较，分析该次请求是否来自重复提交，如果是则给出相应的处理代码逻辑与显示页面，同时在Servlet处理逻辑完成前一定要把Session域中的token令牌值移除掉。具体实现步骤如下。 　　1） 随机数令牌值产生器工具类代码 　　public class TokenProccessor { 　　// 负责产生令牌 保证唯一 单例 　　private TokenProccessor（）{} 　　private static TokenProccessor instance = new TokenProccessor（）； 　　public static TokenProccessor getInstance（） { 　　return instance；} 　　// 设计一个方法产生令牌 　　public String makeToken（） { 　　// 1. 产生一个随机数 　　String random =new Random（）.nextInt+ System.currentTimeMillis（） +； 　　// 2.采用 md5进行加密 　　MessageDigest msgdegest = MessageDigest.getInstance（md5）； 　　byte[] md5 = msgdegest.digest（random.getBytes（））； 　　// 3. 采用base64 算法转换明文 　　BASE64Encoder encoder = new BASE64Encoder（）； 　　String token = encoder.encode（md5）； 　　return token； 　　}} 　　2） 部门添加页面核心代码 　　 　　 　　 　　… 　　 　　3） 请求处理Servlet类RegisterServlet的核心代码 　　// 判断是否为重复提交 　　// 获得提交的token 　　String token =