前言

以前在很多p2p网站中，都有新手领取红包的活动。这样的红包链接或多或少都有很多的漏洞，就是表单可以重复提交。这样的话，对那些p2p网站或者其他类似的网站造成很大的损失。Fiddler大家都不陌生吧，就是一个抓包软件。我们先拦截url请求，Shift+R，填入压力测试的次数，然后释放，就会造成很多次的url访问请求，这样的结果很容易造成表单重复提交。那么我们的今天主题就是如何使用Session和Token防止表单重复提交

表单重复提交例子

在我们写网站的时候，肯定写过留言板的功能，但是肯定对重复提交留言的恶性行为没有进行一些安全措施。

Paste_Image.png

我们利用Fiddler这一款抓包软件，可以进行压力测试，模拟多次url请求。就会造成以下情况，留言板被恶性刷屏。

Paste_Image.png

如何进行防止表单重复提交

其实很简单的，我们只需要生成一个唯一的token,分别放进客户端的表单里和服务器的session中进行了。当我们发起请求时，只需要判断session中的token（以下简称serverToken）和客户端表单里的token(以下简称clientToken)是否相等。 如果severToken==null,clientToken==null 还有
serverToken不等于clientToken，那么就说明表单被重复提交了。反之，如果serverToken==clientToken，就说明表单没有被重复提交，当我们进行了一系列需要的操作后，就可以清除session中的token了。

具体代码

• 生成唯一的Token
  public static String makeToken(){
  String token=(System.currentTimeMillis()+new Random().nextInt(999999999))+"";
  try {
  MessageDigest mDigest=MessageDigest.getInstance("md5");
  byte[] md5=mDigest.digest(token.getBytes());
  BASE64Encoder encoder=new BASE64Encoder();
  return encoder.encode(md5);
  } catch (NoSuchAlgorithmException e) {
  throw new RuntimeException(e);
  }}
• Jsp代码
  <pre>
  <%
  String token=CommonUtils.makeToken();
  request.getSession().setAttribute(token,token);
  %>
  <form enctype="multipart/form-data" action="${pageContext.request.contextPath}/PhotoServlet?method=uploadPhoto&token=<%=token%>" method="post">
  上传图片:<input type="file" name="file"/>
  
  描 述:<input type="text" name="desc"/>
  
  <input type="submit" value="提交"/>
  
  </form>
  </pre>
• Serlvet代码
  <pre>
  public String uploadPhoto(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
  // TODO Auto-generated method stub
  String result=null;
  String clientToken=request.getParameter("token");
  String serverToken=(String)request.getSession().getAttribute(clientToken);
  if(!isRepeatCommit(serverToken, clientToken)){
  result="请不要重复提交";
  request.getSession().setAttribute("result",result);
  return "/result.jsp";
  }
  request.getSession().removeAttribute(clientToken);
  }
  </pre>

<pre>
/**
*
* @param serverToken
* @param clientToken
* @return
* 如果没有重复提交 返回true， 如果重复提交 返回fasle
*/
public boolean isRepeatCommit(String serverToken,String clientToken){
MyLog.i(TAG, "serverToken="+serverToken+",clientToken="+clientToken);
if(serverToken==null){
return false;
}

    if(clientToken==null){
        return false;
    }
    
    if(!clientToken.equals(serverToken)){
        return false;
    }
    
    return true;
}

</pre>

效果图

我自己写了一个图片上传的demo,就来测试一下是否能防止重复提交吧

Paste_Image.png

首先手动测试一下，是否能防止重复提交

Paste_Image.png

我们上传成功后，再次刷新地址栏，会发现已经防止了表单重复提交

Paste_Image.png

手动测试完毕了，心里肯定是美滋滋了。那么我们用Fiddler来测试一下吧，我们来模拟一下压力测试。

Paste_Image.png

我们从Fiddler看到返回结果，心里更是美滋滋了。已经成功防止了表单重复提交不安全的行为了。

Paste_Image.png

发现的问题

写这边简文的时候，我也看到其他大牛写的博客。在底下的评论也发现了一个存在的问题。就是打开2个上传图片的网页，在第一个网页上传到了照片，提示"上传成功"。然后在打开第二个网页再上传图片，就会提示"请不要重复提交"。这是什么问题造成的呢？其实仔细想一下就会发现， 当第一个网站上传图片成功后，就会清除Session中的token值，此时的serverToken=null了。就会造成第二个网站上传图片时候，serverToken=null和serverToken!=clientToken，那么肯定会提示"请不要重复提交"。

解决方案

看到这里，你们估计还有疑问？那么就想一下为什么我要生成唯一的Token。我们这个Token是每一次用户请求的标识。我们只需要serverToken在Session中的属性值设置为唯一的Token即可。就不会发生刚才的情况。

<pre>
String token=CommonUtils.makeToken();
request.getSession().setAttribute(token,token);
%>
</pre>