防止表单重复提交的4种方法

1.背景与介绍：

平时开发的项目中可能会出现下面这些情况：

由于用户误操作，多次点击表单提交按钮。

由于网速等原因造成页面卡顿，用户重复刷新提交页面。

黑客或恶意用户使用postman等工具重复恶意提交表单（攻击网站）。

这些情况都会导致表单重复提交，造成数据重复，增加服务器负载，严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。

2.解决方案

2.1 通过JavaScript屏蔽提交按钮（不推荐）

通过js代码，当用户点击提交按钮后，屏蔽提交按钮使用户无法点击提交按钮或点击无效，从而实现防止表单重复提交。

ps：js代码很容易被绕过。比如用户通过刷新页面方式，或使用postman等工具绕过前段页面仍能重复提交表单。因此不推荐此方法。

 
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML>
<html>
<head>
<title>表单</title>
<script type="text/javascript">
//默认提交状态为false
var commitStatus = false;
function dosubmit(){
if(commitStatus==false){
  //提交表单后，讲提交状态改为true
  commitStatus = true;
  return true;
}else{
  return false;
}
}
</script>
</head>
<body>
<form action="/path/post" onsubmit="return dosubmit()" method="post">
用户名：<input type="text" name="username">
<input type="submit" value="提交" id="submit">
</form>
</body>
</html>

2.2 给数据库增加唯一键约束（简单粗暴）

在数据库建表的时候在ID字段添加主键约束，用户名、邮箱、电话等字段加唯一性约束。确保数据库只可以添加一条数据。

数据库加唯一性约束sql：

alter table tableName_xxx add unique key uniq_xxx(field1, field2)

服务器及时捕捉插入数据异常：

 
try {
  xxxMapper.insert(user);
} catch (DuplicateKeyException e) {
  logger.error("user already exist");
}

通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单（攻击网站），服务器大量执行sql插入语句，增加服务器和数据库负荷。

2.3 利用Session防止表单重复提交（推荐）

实现原理：

服务器返回表单页面时，会先生成一个subToken保存于session，并把该subToen传给表单页面。当表单提交时会带上subToken，服务器拦截器Interceptor会拦截该请求，拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。

首次提交表单时session的subToken与表单携带的subToken一致走正常流程，然后拦截器内会删除session保存的subToken。当再次提交表单时由于session的subToken为空则不通过。从而实现了防止表单重复提交。

使用：

mvc配置文件加入拦截器配置

<mvc:interceptors>

<mvc:interceptor>

<mvc:mapping path="/**"/>

</mvc:interceptor>

</mvc:interceptors>

拦截器

 
package xxx.xxxx.interceptor;
import xxx.xxx.SubToken;
import xxx.xxx.utils.Constants;
import org.apache.struts.util.TokenProcessor;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.lang.reflect.Method;
public class AvoidDuplicateSubmissionInterceptor extends
HandlerInterceptorAdapter {
    public AvoidDuplicateSubmissionInterceptor() {}
    @Override 
    public boolean preHandle(HttpServletRequest request,
    HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();
            SubToken annotation = method.getAnnotation(SubToken.class);
            if (annotation != null) {
                boolean needSaveSession = annotation.saveToken();
                if (needSaveSession) {
                    request.getSession(false)
                    .setAttribute(
                    "subToken",
                    TokenProcessor.getInstance().generateToken(request));
                }
                boolean needRemoveSession = annotation.removeToken();
                if (needRemoveSession) {
                    if (isRepeatSubmit(request)) {
                        return false;
                    }
                    request.getSession(false).removeAttribute("subToken");
                }
            }
        }
    return true;
    }
    private boolean isRepeatSubmit(HttpServletRequest request) {
        String serverToken = (String) request.getSession(false).getAttribute("subToken");
        if (serverToken == null) {
            return true;
        }
        String clinetToken = request.getParameter("subToken");
        if (clinetToken == null) {
            return true;
        }
        if (!serverToken.equals(clinetToken)) {
            return true;
        }
        return false;
    }
}
控制层 controller
@RequestMapping("/form")
//开启一个Token
@SubToken(saveToken = true)
public String form() {
    return "/test/form";
}
@RequestMapping(value = "/postForm", method = RequestMethod.POST)
@ResponseBody
//开启Token验证，并且成功之后移除当前Token
@SubToken(removeToken = true)
public String postForm(String userName) {
    System.out.println(System.currentTimeMillis());
    try{
        System.out.println(userName);
        Thread.sleep(1500);//暂停1.5秒后程序继续执行
    }catch (InterruptedException e) {
        e.printStackTrace();
    }
    System.out.println(System.currentTimeMillis());
    return "1";
}

表单页面

 
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
<form method="post" action="/postForm">
<input type="text" name="userName">
<input type="hidden" name="subToken" value="${subToken}">
<input type="submit" value="提交">
</form>
</body>
</html>

2.4使用AOP自定义切入实现

实现原理：

自定义防止重复提交标记（@AvoidRepeatableCommit）。

对需要防止重复提交的Congtroller里的mapping方法加上该注解。

新增Aspect切入点，为@AvoidRepeatableCommit加入切入点。

每次提交表单时，Aspect都会保存当前key到reids（须设置过期时间）。

重复提交时Aspect会判断当前redis是否有该key，若有则拦截。

自定义标签

 
import java.lang.annotation.*;
/**
* 避免重复提交
* @author hhz
* @version
* @since
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AvoidRepeatableCommit {
    /**
    * 指定时间内不可重复提交,单位毫秒
    * @return
    */ 
    long timeout() default 30000 ;
}
自定义切入点Aspect
/**
* 重复提交aop
* @author hhz
* @version
* @since
*/
@Aspect
@Component
public class AvoidRepeatableCommitAspect {
    @Autowired 
    private RedisTemplate redisTemplate;
    /**
    * @param point
    */ 
    @Around("@annotation(com.xwolf.boot.annotation.AvoidRepeatableCommit)") 
    public Object around(ProceedingJoinPoint point) throws Throwable {
    HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest();
    String ip = IPUtil.getIP(request);
    //获取注解 
    MethodSignature signature = (MethodSignature) point.getSignature();
    Method method = signature.getMethod();
    //目标类、方法 
    String className = method.getDeclaringClass().getName();
    String name = method.getName();
    String ipKey = String.format("%s#%s",className,name);
    int hashCode = Math.abs(ipKey.hashCode());
    String key = String.format("%s_%d",ip,hashCode);
    log.info("ipKey={},hashCode={},key={}",ipKey,hashCode,key);
    AvoidRepeatableCommit avoidRepeatableCommit = method.getAnnotation(AvoidRepeatableCommit.class);
    long timeout = avoidRepeatableCommit.timeout();
    if (timeout < 0){
        timeout = Constants.AVOID_REPEATABLE_TIMEOUT;
    }
    String value = (String) redisTemplate.opsForValue().get(key);
    if (StringUtils.isNotBlank(value)){
        return "请勿重复提交";
    }
    redisTemplate.opsForValue().set(key, UUIDUtil.uuid(),timeout,TimeUnit.MILLISECONDS);
    //执行方法 
    Object object = point.proceed();
    return object;
}
}

	<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
	<!DOCTYPE HTML>
	<html>
	<head>
	<title>表单</title>
	<script type="text/javascript">
	//默认提交状态为false
	var commitStatus = false;
	function dosubmit(){
	if(commitStatus==false){
	//提交表单后，讲提交状态改为true
	commitStatus = true;
	return true;
	}else{
	return false;
	}
	}
	</script>
	</head>
	<body>
	<form action="/path/post" onsubmit="return dosubmit()" method="post">
	用户名：<input type="text" name="username">
	<input type="submit" value="提交" id="submit">
	</form>
	</body>
	</html>

	try {
	xxxMapper.insert(user);
	} catch (DuplicateKeyException e) {
	logger.error("user already exist");
	}

	package xxx.xxxx.interceptor;
	import xxx.xxx.SubToken;
	import xxx.xxx.utils.Constants;
	import org.apache.struts.util.TokenProcessor;
	import org.springframework.web.method.HandlerMethod;
	import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
	import javax.servlet.http.HttpServletRequest;
	import javax.servlet.http.HttpServletResponse;
	import java.lang.reflect.Method;
	public class AvoidDuplicateSubmissionInterceptor extends
	HandlerInterceptorAdapter {
	public AvoidDuplicateSubmissionInterceptor() {}
	@Override
	public boolean preHandle(HttpServletRequest request,
	HttpServletResponse response, Object handler) throws Exception {
	if (handler instanceof HandlerMethod) {
	HandlerMethod handlerMethod = (HandlerMethod) handler;
	Method method = handlerMethod.getMethod();
	SubToken annotation = method.getAnnotation(SubToken.class);
	if (annotation != null) {
	boolean needSaveSession = annotation.saveToken();
	if (needSaveSession) {
	request.getSession(false)
	.setAttribute(
	"subToken",
	TokenProcessor.getInstance().generateToken(request));
	}
	boolean needRemoveSession = annotation.removeToken();
	if (needRemoveSession) {
	if (isRepeatSubmit(request)) {
	return false;
	}
	request.getSession(false).removeAttribute("subToken");
	}
	}
	}
	return true;
	}
	private boolean isRepeatSubmit(HttpServletRequest request) {
	String serverToken = (String) request.getSession(false).getAttribute("subToken");
	if (serverToken == null) {
	return true;
	}
	String clinetToken = request.getParameter("subToken");
	if (clinetToken == null) {
	return true;
	}
	if (!serverToken.equals(clinetToken)) {
	return true;
	}
	return false;
	}
	}
	控制层 controller
	@RequestMapping("/form")
	//开启一个Token
	@SubToken(saveToken = true)
	public String form() {
	return "/test/form";
	}
	@RequestMapping(value = "/postForm", method = RequestMethod.POST)
	@ResponseBody
	//开启Token验证，并且成功之后移除当前Token
	@SubToken(removeToken = true)
	public String postForm(String userName) {
	System.out.println(System.currentTimeMillis());
	try{
	System.out.println(userName);
	Thread.sleep(1500);//暂停1.5秒后程序继续执行
	}catch (InterruptedException e) {
	e.printStackTrace();
	}
	System.out.println(System.currentTimeMillis());
	return "1";
	}

	<%@ page contentType="text/html;charset=UTF-8" language="java" %>
	<html>
	<head>
	<title>Title</title>
	</head>
	<body>
	<form method="post" action="/postForm">
	<input type="text" name="userName">
	<input type="hidden" name="subToken" value="${subToken}">
	<input type="submit" value="提交">
	</form>
	</body>
	</html>

	import java.lang.annotation.*;
	/**
	* 避免重复提交
	* @author hhz
	* @version
	* @since
	*/
	@Target(ElementType.METHOD)
	@Retention(RetentionPolicy.RUNTIME)
	public @interface AvoidRepeatableCommit {
	/**
	* 指定时间内不可重复提交,单位毫秒
	* @return
	*/
	long timeout() default 30000 ;
	}
	自定义切入点Aspect
	/**
	* 重复提交aop
	* @author hhz
	* @version
	* @since
	*/
	@Aspect
	@Component
	public class AvoidRepeatableCommitAspect {
	@Autowired
	private RedisTemplate redisTemplate;
	/**
	* @param point
	*/
	@Around("@annotation(com.xwolf.boot.annotation.AvoidRepeatableCommit)")
	public Object around(ProceedingJoinPoint point) throws Throwable {
	HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest();
	String ip = IPUtil.getIP(request);
	//获取注解
	MethodSignature signature = (MethodSignature) point.getSignature();
	Method method = signature.getMethod();
	//目标类、方法
	String className = method.getDeclaringClass().getName();
	String name = method.getName();
	String ipKey = String.format("%s#%s",className,name);
	int hashCode = Math.abs(ipKey.hashCode());
	String key = String.format("%s_%d",ip,hashCode);
	log.info("ipKey={},hashCode={},key={}",ipKey,hashCode,key);
	AvoidRepeatableCommit avoidRepeatableCommit = method.getAnnotation(AvoidRepeatableCommit.class);
	long timeout = avoidRepeatableCommit.timeout();
	if (timeout < 0){
	timeout = Constants.AVOID_REPEATABLE_TIMEOUT;
	}
	String value = (String) redisTemplate.opsForValue().get(key);
	if (StringUtils.isNotBlank(value)){
	return "请勿重复提交";
	}
	redisTemplate.opsForValue().set(key, UUIDUtil.uuid(),timeout,TimeUnit.MILLISECONDS);
	//执行方法
	Object object = point.proceed();
	return object;
	}
	}