+
 新版

外刊IT评论:防止表单重复提交的几种策略

表单重复提交是在多用户Web应用中最常见、带来很多麻烦的一个问题。有很多的应用场景都会遇到重复提交问题,比如:

  • 点击提交按钮两次。
  • 点击刷新按钮。
  • 使用浏览器后退按钮重复之前的操作,导致重复提交表单。
  • 使用浏览器历史记录重复提交表单。
  • 浏览器重复的HTTP请求。

几种防止表单重复提交的方法

禁掉提交按钮。表单提交后使用Javascript使提交按钮disable。这种方法防止心急的用户多次点击按钮。但有个问题,如果客户端把Javascript给禁止掉,这种方法就无效了。

我之前的文章曾说过用一些Jquery插件效果不错。

Post/Redirect/Get模式。在提交后执行页面重定向,这就是所谓的Post-Redirect-Get (PRG)模式。简言之,当用户提交了表单后,你去执行一个客户端的重定向,转到提交成功信息页面。

这能避免用户按F5导致的重复提交,而其也不会出现浏览器表单重复提交的警告,也能消除按浏览器前进和后退按导致的同样问题。

在session中存放一个特殊标志。当表单页面被请求时,生成一个特殊的字符标志串,存在session中,同时放在表单的隐藏域里。接受处理表单数据时,检查标识字串是否存在,并立即从session中删除它,然后正常处理数据。

如果发现表单提交里没有有效的标志串,这说明表单已经被提交过了,忽略这次提交。

这使你的web应用有了更高级的XSRF保护。

在数据库里添加约束。在数据库里添加唯一约束或创建唯一索引,防止出现重复数据。这是最有效的防止重复提交数据的方法。

你是如何克服数据重复提交问题的?你遇到过什么重复提交数据的现实例子吗?

[英文原文: Prevent Duplicate Form Submission ]

外刊IT评论:防止表单重复提交的几种策略
实迷途其未远觉今是而昨非
实迷途其未远觉今是而昨非
2014-12-09 14:38
测试重复提交
回复
举报
kookob
kookob
2014-04-06 13:13

引用来自“justintung”的评论

引用来自“hanzhankang”的评论

干什么都放在session里,是不是太懒了

那你打算放哪里?

如果都丢到session,如果用户打开这页面,又不提交的话,那这个session不是删不掉而一直存在了?

回复
举报
Zoker
Zoker
2014-03-27 13:50

引用来自“刘学炜”的评论

引用来自“Silentboy”的评论

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

呵呵

方法

发顺丰

好的,亲,顺丰包邮,十盒大象

土包子

没有包子卖呦亲
回复
举报
刘学炜
刘学炜
2014-03-27 13:47

引用来自“Silentboy”的评论

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

呵呵

方法

发顺丰

好的,亲,顺丰包邮,十盒大象

土包子
回复
举报
Zoker
Zoker
2014-03-27 13:45

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

呵呵

方法

发顺丰

好的,亲,顺丰包邮,十盒大象
回复
举报
刘学炜
刘学炜
2014-03-27 13:38

引用来自“刘学炜”的评论

引用来自“刘学炜”的评论

呵呵

方法

发顺丰
回复
举报
刘学炜
刘学炜
2014-03-27 13:38

引用来自“刘学炜”的评论

呵呵

方法
回复
举报
刘学炜
刘学炜
2014-03-27 13:37
呵呵
回复
举报
牧哥
牧哥
2013-11-14 14:53
嗯,这个也是我需要的,我目前的解决办法是用遮罩来让客户不继续点击。不知道还有没有更好的办法!
回复
举报
钱途无梁
钱途无梁
2013-11-14 14:07
表单多次提交有错吗?就像修改个人资料一样,为什么不能多次修改?大家没理解作者的意思,人家说的是两次表单提交速度太快
回复
举报
爆炸
爆炸
2013-11-14 09:05

引用来自“铂金眼”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?

卧槽,我越来越不能理解你了啊!打开页面生成表单的时候token就初始化了!

打开页面,生成token,存数据库->提交页面,对比提交token和数据库token

如果是上面的流程,那么每生成一个新的就存储一个,怎么保证不被重复提交呢?

看来你没明白这里说的表单重复提交的意思啊!
我表达能力不好!不说了!会越说越说不清……

是我对这里说的表单重复提交理解错了,还是你?

文中所说的重复提交是指在短时间内多次提交同一个表单。比如用户提交需求时,如果多点了一次提交就会提交两次需求。
如果你生成的token在提交后立刻被删除,那么不刷新的情况下是可以避免重复提交。
回复
举报
OSC688888
OSC688888
2013-11-14 08:55

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?

卧槽,我越来越不能理解你了啊!打开页面生成表单的时候token就初始化了!

打开页面,生成token,存数据库->提交页面,对比提交token和数据库token

如果是上面的流程,那么每生成一个新的就存储一个,怎么保证不被重复提交呢?

看来你没明白这里说的表单重复提交的意思啊!
我表达能力不好!不说了!会越说越说不清……

是我对这里说的表单重复提交理解错了,还是你?
回复
举报
OSC688888
OSC688888
2013-11-14 08:54

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?

卧槽,我越来越不能理解你了啊!打开页面生成表单的时候token就初始化了!

打开页面,生成token,存数据库->提交页面,对比提交token和数据库token

如果是上面的流程,那么每生成一个新的就存储一个,怎么保证不被重复提交呢?

看来你没明白这里说的表单重复提交的意思啊!
我表达能力不好!不说了!会越说越说不清……
回复
举报
chape
chape
2013-11-14 01:01
tokenInterceptor
回复
举报
大海拾贝
大海拾贝
2013-11-13 23:33
cookie
回复
举报
爆炸
爆炸
2013-11-13 22:01

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?

卧槽,我越来越不能理解你了啊!打开页面生成表单的时候token就初始化了!

打开页面,生成token,存数据库->提交页面,对比提交token和数据库token

如果是上面的流程,那么每生成一个新的就存储一个,怎么保证不被重复提交呢?
回复
举报
OSC688888
OSC688888
2013-11-13 17:14

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?

卧槽,我越来越不能理解你了啊!打开页面生成表单的时候token就初始化了!
回复
举报
爆炸
爆炸
2013-11-13 16:48

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。

数据库只存一个token?那这个token怎么初始化呢?
回复
举报
裴松年
裴松年
2013-11-13 16:27
还有没有更安全的办法?
回复
举报
Glitter
Glitter
2013-11-13 16:02
学习学习~
回复
举报
首席打酱油
首席打酱油
2013-11-13 15:48
分布式环境的怎么破
回复
举报
inuxor
inuxor
2013-11-13 13:04
觉得要区分一下,是用户心急造成的重复提交还是恶意的重复提交;是内部系统还是放在公网上的网页。
回复
举报
山哥
山哥
2013-11-13 12:20
不要想什么客户禁用javascript了,这是不现实的,如果客户禁用了浏览器执行javascript,那么他就不要使用互联网了。

个人感觉使用ajax方式比较简单方便,就像 osc 的 ajaxForm 。
回复
举报
lateron
lateron
2013-11-13 12:00
ajax。
回复
举报
oxsicn
oxsicn
2013-11-13 11:51
PRG模式
回复
举报
leon_rock
leon_rock
2013-11-13 11:44
JFinal 就是用session 做的
回复
举报
LUj
LUj
2013-11-13 11:23
markloff
回复
举报
leelege
leelege
2013-11-13 11:06

引用来自“路人A”的评论

引用来自“justintung”的评论

引用来自“hanzhankang”的评论

干什么都放在session里,是不是太懒了

那你打算放哪里?

放在session里是合理的。

用了session在web集群的时候负责均衡就得弄个session粘滞策略,要不就得启用web服务器session共享,都不是什么靠谱的方案。呆过的两个B2C公司网站都是禁用session的
回复
举报
崔钢
崔钢
2013-11-13 10:55
第一种方法无疑是最好的。因为我们的整个应用都是用js写的,如果用户把js禁用了。那就太好了,整个世界清静啦。。
回复
举报
OSC688888
OSC688888
2013-11-13 10:49

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?

这不需要判断什么第一次啊!token用一次就没用了。刷新页面提交表单浏览器本身会有个提示的,这样子就是重复提交了。如果你试地址栏回车,那就会刷新整个表单,token就是新的。
回复
举报
王洪旭
王洪旭
2013-11-13 10:40
mark
回复
举报
Chiroc
Chiroc
2013-11-13 10:35
测试重复提交
回复
举报
Chiroc
Chiroc
2013-11-13 10:32
fasfsadff
回复
举报
冷炎小狼
冷炎小狼
2013-11-13 10:24
转向是目前来看最常用的了
回复
举报
DC梦幻岛
DC梦幻岛
2013-11-13 09:48
疯狂使用session中
回复
举报
爆炸
爆炸
2013-11-13 09:43

引用来自“铂金眼”的评论

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!

怎么判断用户是第一次访问表单呢?刷新表单时会不会重新生成一个新的token呢?
回复
举报
mark35
mark35
2013-11-13 09:39

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

还缺少一步:表单提交之后更新token
回复
举报
今天天气不错哟
今天天气不错哟
2013-11-13 09:27
毫无亮点
回复
举报
黑帽子
黑帽子
2013-11-13 09:26
学习了
回复
举报
酒逍遥
酒逍遥
2013-11-13 09:25
用户提交之后 用js 删除表单
回复
举报
OSC688888
OSC688888
2013-11-13 09:23

引用来自“烽燧”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

ajax呢。与其操作数据库,不如丢入session

总感觉session不太可靠啊!放内存缓存也是不错的啊!
回复
举报
OSC688888
OSC688888
2013-11-13 09:21

引用来自“爆炸”的评论

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。

可以啊,怎么不可以防止重复提交!提交一次,token就不存在了,假如用户再次刷新,或者后退提交的话,程序就会忽略掉这次的提交!
回复
举报
noday
noday
2013-11-13 09:21

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

不就是第二条嘛
回复
举报
爆炸
爆炸
2013-11-13 09:16

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

这是防CSRF,并不能保证不被重复提交。
回复
举报
六点的思虑
六点的思虑
2013-11-13 09:14

引用来自“铂金眼”的评论

我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?

ajax呢。与其操作数据库,不如丢入session
回复
举报
justintung
justintung
2013-11-13 09:08

引用来自“hanzhankang”的评论

干什么都放在session里,是不是太懒了

那你打算放哪里?
回复
举报
OSC688888
OSC688888
2013-11-13 08:55
我是生成的token放在表单隐藏域,然后token存在数据库里面的,提交的时候取出来对比,没有匹配token就是非法提交,有匹配到就提交,然后删除这一台token。这样子OK不?
回复
举报
厦门老猫
厦门老猫
2013-11-13 08:48
还以为是什么新方法 好吧
回复
举报
baba007
baba007
2013-11-13 08:45
disable ,token, Redirect ,数据库标识 , 都是几种很常见 常用的
回复
举报
54mark
54mark
2013-11-13 08:45
ajax不就行了嘛
回复
举报
御风林海
御风林海
2013-11-13 08:43
mark..
回复
举报
拜仁慕尼黑
拜仁慕尼黑
2013-11-13 08:42
mark
回复
举报
空云万里晴
空云万里晴
2013-11-13 08:34
mark
回复
举报
sunnysky
sunnysky
2013-11-13 08:34
mark
回复
举报
华兹格
华兹格
2013-11-13 08:22
干什么都放在session里,是不是太懒了
回复
举报
雨翔河
雨翔河
2013-11-13 08:14

引用来自“王振威”的评论

这都是常见的做法啊

应该就是这几种比较常见且比较简洁的策略。
回复
举报
王振威
王振威
2013-11-13 07:58
这都是常见的做法啊
回复
举报
回复 @
{{ emoji.type }}
{{emojiItem.symbol}}
热门资讯
Claude Fable 5 自主性太强了,强到让人细思极恐
· 06/12 14:50
0 评论
Kimi K2.7 Code 发布并开源,6 倍速高速版下周一上线
白开水不加糖 · 06/12 18:33
0 评论
“开源版 Windows” ReactOS 达成重要里程碑,现已能够运行《半条命》
· 06/12 15:22
0 评论
Zed 宣布正在开发 DeltaDB,一次“去 Git 化”的版本控制实验
· 06/12 11:56
0 评论
常驻内存仅 15MB,无强制绑定!我们用 Go 语言重构了一款干净、轻量的 Linux 面板 DBPanel
静静的风 · 06/13 23:28
0 评论
智谱 AI 编程工具 ZCode 3.0 正式发布,全面切换自研 ZCode Agent 内核
· 06/15 11:09
4 评论
Linus Torvalds 发布 Linux 7.1,一次跨时区的常规升级
· 06/15 15:31
0 评论
AI 生成网站正在“Tailwind 化”
· 06/12 11:31
0 评论
Fable 5 被禁当晚,智谱宣布 GLM-5.2 完全开源:“前沿智能属于每一个人”
· 06/15 15:27
0 评论
curl 项目即将开启“幸福之夏”,创始人宣布 7 月停止接受漏洞报告
· 06/15 19:29
0 评论
删除一条评论

评论删除后,数据将无法恢复

取消
确定
返回顶部
顶部