防止表单重复提交的4种方法

1.背景与介绍：

平时开发的项目中可能会出现下面这些情况：

由于用户误操作，多次点击表单提交按钮。由于网速等原因造成页面卡顿，用户重复刷新提交页面。黑客或恶意用户使用postman等工具重复恶意提交表单（攻击网站）。

2.解决方案

2.1通过JS屏蔽提交按钮

通过js代码，当用户点击提交按钮后，屏蔽提交按钮使用户无法点击提交按钮或点击无效，从而实现防止表单重复提交。

ps：js代码很容易被绕过，比如用户通过刷新页面方式，或使用postman等工具绕过前段页面仍能重复提交表单。因此不推荐此方法。

2.2 给数据库增加唯一键约束（简单粗暴）

在数据库建表的时候在ID字段添加主键约束，用户名、邮箱、电话等字段加唯一性约束，确保数据库只可以添加一条数据。

数据库加唯一性约束sql

alter table tableName_xxx add unique key uniq_xxx(field1,field2)

服务器及时捕捉插入数据异常：

try{xxxMapper.insert(user);}catch (DuplicateKeyException e){logger.error("user already exist")}

通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单（攻击网站），服务器大量执行sql插入语句，增加服务器和数据库负荷。

2.3 利用Session防止表单重复提交（推荐）

实现原理：服务器返回表单页面时，会生成一个subToken保存与session，并把subToken传给表单页面。当表单提交时会带上subToken，服务器拦截器Interceptor会拦截该请求，拦截器半段session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单为携带subToken则不通过。

首次提交表单时session的subToken与表单携带的subToken一致走正常流程，然后拦截器内会删除session保存的subToken。当在此提交表单时由于session的subToken为空则不通过。从而实现防止表单重复提交。

<mvc:interceptors><mvc:interceptor><mvc:mapping path="/**"/><bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/></mvc:interceptor></mvc:interceptors>

拦截器

public class AvoidDuplicateSubmissionInterceptor extends HandlerInterceptorAdapter {public AvoidDuplicateSubmissionInterceptor() {}@Overridepublic boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {if (handler instanceof HandlerMethod) {HandlerMethod handlerMethod = (HandlerMethod) handler;Method method = handlerMethod.getMethod();SubToken annotation = method.getAnnotation(SubToken.class);if (annotation != null) {boolean needSaveSession = annotation.saveToken();if (needSaveSession) {request.getSession(false).setAttribute("subToken",TokenProcessor.getInstance().generateToken(request));}boolean needRemoveSession = annotation.removeToken();if (needRemoveSession) {if (isRepeatSubmit(request)) {return false;}request.getSession(false).removeAttribute("subToken");}}}return true;}private boolean isRepeatSubmit(HttpServletRequest request) {String serverToken = (String) request.getSession(false).getAttribute("subToken");if (serverToken == null) {return true;}String clinetToken = request.getParameter("subToken");if (clinetToken == null) {return true;}if (!serverToken.equals(clinetToken)) {return true;}return false;}}

控制层controller

@RequestMapping("/form")//开启一个Token@SubToken(saveToken = true)public String form() {return "/test/form";}@RequestMapping(value = "/postForm", method = RequestMethod.POST)@ResponseBody//开启Token验证，并且成功之后移除当前Token@SubToken(removeToken = true)public String postForm(String userName) {System.out.println(System.currentTimeMillis());try{System.out.println(userName);Thread.sleep(1500);//暂停1.5秒后程序继续执行}catch (InterruptedException e) {e.printStackTrace();}System.out.println(System.currentTimeMillis());return "1";}