一。前言
你在任何一個比較專業的BBS都會看到這樣的問題,即使你Google一下,也會發現有很多的人在關注和詢問,但大家給出的解決方法卻都是千差萬
別,(有的人主張采用腳本來解決;有的則想重定向到別的頁面;有的則將此問題提升到Token的角度)為什么會有如此大的差異呢?
二。問題場景
首先,我們應該先了解為什么要處理這樣的問題?或者專業一點就是它適合的場景是什么?(似乎只有人來問沒有人來解釋)
1。重復提交、重復刷新的場景
重復提交、重復刷新都是來解決系統重復記錄的問題。也就是說某個人在多次的提交某條記錄(為什么?也許是閑了沒有事情干的;最有可能是用戶根本就不知道自己的提交結果是否已經執行了?!)。
但出現了這樣的問題并不見得就必須處理,要看你所開發的系統的類別而定。比如你接手的是某個資源管理系統,系統本身從需求的角度根本就不允許出
現"重復"的記錄,在這樣需求的約束條件下,去執行重復的提交動作只會引發“業務級異常”的產生,根本就不可能執行成功也就無所謂避免不避免的問題了。
2。防止后退的場景
了解了重復刷新、重復提交的場景,我們來了解一下"防止后退"操作的原因是什么?比如你在開發某個投票系統,它有很多的步驟,并且這些步驟之間是
有聯系的,比如第一步會將某些信息發送給第二步,第二步緩存了這些信息,同時將自身的信息發送給了第三步。。。。。等等,如果此時用戶處在第三步驟下,我
們想象一下某個淘氣用戶的用戶點擊了后退按鈕,此時屏幕出現了第二步驟的頁面,他再次的修改或者再次的提交,進入到下一個步驟(也就是第三步驟),錯誤就
會在此產生?!什么錯誤呢?最為典型的就是這樣的操作直接導致了對于第一個步驟信息的丟失!(如果這樣的信息是依靠Request存放的話,當然你可以存
放在Session或者更大的上下文環境中,但這不是個好主意!關于信息存放的問題,下次在就這個問題詳細的討論)
三。如何處理的問題
當然很多的系統(比如訂票系統從需求上本身是允許個人重復訂票的)是必須要避免重復刷新、重復提交、以及防止后退的問題的,但即使是這樣的問題,
也要區分如何處理以及在哪里處理的(網上只是告訴你如何處理,但很少去區分在哪里處理的),顯然處理的方式無非是客戶端或者服務器端兩種,而面對不同的位
置處理的方式也是不同的,但有一點要事先聲明:任何客戶端(尤其是B/S端)的處理都是不可信任的,最好的也是最應該的是服務器端的處理方法。
客戶端處理:
面對客戶端我們可以使用Javascript腳本來解決,如下
1。重復刷新、重復提交
- Ways?One:設置一個變量,只允許提交一次。??
- <script?language="javascript">???
- ????var?checkSubmitFlg?=?false;???
- ????function?checkSubmit()?{???
- ??????if?(checkSubmitFlg?==?true)?{???
- ?????????return?false;???
- ??????}???
- ??????checkSubmitFlg?=?true;???
- ??????return?true;???
- ???}???
- ???document.ondblclick?=?function?docondblclick()?{???
- ????window.event.returnValue?=?false;???
- ???}???
- ???document.onclick?=?function?doconclick()?{???
- ???????if?(checkSubmitFlg)?{???
- ?????????window.event.returnValue?=?false;???
- ???????}???
- ???}???
- </script>???
Ways One:設置一個變量,只允許提交一次。
<script language="javascript">
var checkSubmitFlg = false;
function checkSubmit() {
if (checkSubmitFlg == true) {
return false;
}
checkSubmitFlg = true;
return true;
}
document.ondblclick = function docondblclick() {
window.event.returnValue = false;
}
document.onclick = function doconclick() {
if (checkSubmitFlg) {
window.event.returnValue = false;
}
}
</script>
- <html:form?action="myAction.do"?method="post"?onsubmit="return?checkSubmit();">??
- ??
- Way?Two?:?將提交按鈕或者image置為disable??
- <html:form?action="myAction.do"?method="post"???
- ????onsubmit="getElById('submitInput').disabled?=?true;?return?true;">?????
- <html:image?styleId="submitInput"?src="images/ok_b.gif"?border="0"?/>???
- </html:form>???
<html:form action="myAction.do" method="post" onsubmit="return checkSubmit();">
Way Two : 將提交按鈕或者image置為disable
<html:form action="myAction.do" method="post"
onsubmit="getElById('submitInput').disabled = true; return true;">
<html:image styleId="submitInput" src="images/ok_b.gif" border="0" />
</html:form> 2。防止用戶后退
這里的方法是千姿百態,有的是更改瀏覽器的歷史紀錄的,比如使用window.history.forward()方法;有的是“用新頁面的URL替換當前的歷史紀錄,這樣瀏覽歷史記錄中就只有一個頁面,后退按鈕永遠不會變為可用。”比如使用
- javascript:location.replace(this.href);?event.returnValue=false;??
javascript:location.replace(this.href); event.returnValue=false;
2.服務器端的處理(這里只說Struts框架的處理)
利用同步令牌(Token)機制來解決Web應用中重復提交的問題,Struts也給出了一個參考實現。
基本原理:
服務器端在處理到達的請求之前,會將請求中包含的令牌值與保存在當前用戶會話中的令牌值進行比較,
看是否匹配。在處理完該請求后,且在答復發送給客戶端之前,將會產生一個新的令牌,該令牌除傳給
客戶端以外,也會將用戶會話中保存的舊的令牌進行替換。這樣如果用戶回退到剛才的提交頁面并再次
提交的話,客戶端傳過來的令牌就和服務器端的令牌不一致,從而有效地防止了重復提交的發生。
- if?(isTokenValid(request,?true))?{???
- ??????
- ????return?mapping.findForward("success");???
- }?else?{???
- ????saveToken(request);???
- ????return?mapping.findForward("submitagain");???
- }??
if (isTokenValid(request, true)) {
// your code here
return mapping.findForward("success");
} else {
saveToken(request);
return mapping.findForward("submitagain");
}Struts根據用戶會話ID和當前系統時間來生成一個唯一(對于每個會話)令牌的,具體實現可以參考
TokenProcessor類中的generateToken()方法。
1. //驗證事務控制令牌,<html:form >會自動根據session中標識生成一個隱含input代表令牌,防止兩次提交
- 2.?在action中:??
- ??
- ??
- ?????????
- ?????????
- ???????if?(!isTokenValid(request))???
- ???????????errors.add(ActionErrors.GLOBAL_ERROR,???
- ??????????????????????new?ActionError("error.transaction.token"));???
- ???????resetToken(request);???
- ??
- 3.?action有這樣的一個方法生成令牌??
- ???protected?String?generateToken(HttpServletRequest?request)?{???
- ???????HttpSession?session?=?request.getSession();???
- ???????try?{???
- ???????????byte?id[]?=?session.getId().getBytes();???
- ???????????byte?now[]?=???
- ???????????????new?Long(System.currentTimeMillis()).toString().getBytes();???
- ???????????MessageDigest?md?=?MessageDigest.getInstance("MD5");???
- ???????????md.update(id);???
- ???????????md.update(now);???
- ???????????return?(toHex(md.digest()));???
- ???????}?catch?(IllegalStateException?e)?{???
- ???????????return?(null);???
- ???????}?catch?(NoSuchAlgorithmException?e)?{???
- ???????????return?(null);???
- ???????}???
- ???}???
2. 在action中:
//<input type="hidden" name="org.apache.struts.taglib.html.TOKEN"
// value="6aa35341f25184fd996c4c918255c3ae">
if (!isTokenValid(request))
errors.add(ActionErrors.GLOBAL_ERROR,
new ActionError("error.transaction.token"));
resetToken(request); //刪除session中的令牌
3. action有這樣的一個方法生成令牌
protected String generateToken(HttpServletRequest request) {
HttpSession session = request.getSession();
try {
byte id[] = session.getId().getBytes();
byte now[] =
new Long(System.currentTimeMillis()).toString().getBytes();
MessageDigest md = MessageDigest.getInstance("MD5");
md.update(id);
md.update(now);
return (toHex(md.digest()));
} catch (IllegalStateException e) {
return (null);
} catch (NoSuchAlgorithmException e) {
return (null);
}
} 總結
對于重復提交、重復刷新、防止后退等等都是屬于系統為避免重復記錄而需要解決的問題,在客戶端去處理需要針對每一種的可能提出相應的解決方案,然而在服務器端看來只不過是對于數據真實性的檢驗問題,基于令牌的處理就是一勞永逸的方法。
同時我們也看到,從不同的角度去看待問題,其解決的方法也是不同的。客戶端更追求的是用戶的操作,而服務端則將注意力放在了數據的處理上,所以在
某個對于服務器端看似容易的問題上,用客戶端來解決卻麻煩了很多!反之依然。所以在某些問題的處理上我們需要綜合考慮和平衡,是用客戶端來解決?還是用服
務器端來處理?
注:轉載于http://www.tkk7.com/xcp/archive/2008/09/04/token.html