Làm cách nào để ngăn người dùng đăng dữ liệu nhiều lần trên trang web

Question

Tôi đang làm việc trên một ứng dụng web (J2EE) và tôi muốn biết các tùy chọn có sẵn để xử lý bài đăng kép từ trình duyệt.

Các giải pháp mà tôi đã nhìn thấy và sử dụng trong quá khứ đều là client-side:

• Vô hiệu hóa nút gửi ngay sau khi người dùng nhấp chuột nó.
• Làm theo mẫu POST-Redirect-GET để ngăn POST khi người dùng nhấp vào nút quay lại.
• Xử lý sự kiện onSubmit của biểu mẫu và theo dõi trạng thái gửi bằng JavaScript.

Tôi muốn triển khai giải pháp phía máy chủ nếu có thể. Có cách tiếp cận nào tốt hơn các phương pháp tôi đã đề cập ở trên hay giải pháp phía khách hàng tốt nhất?

Answer 1

Khó có thể thực hiện giải pháp chống idiot (vì chúng đang cải thiện các idiots). Không có vấn đề gì bạn làm, phía khách hàng có thể được thao tác hoặc thực hiện không chính xác.

Giải pháp của bạn phải là phía máy chủ đáng tin cậy và bảo mật. Điều đó nói rằng, một cách tiếp cận là xem lại yêu cầu và kiểm tra trạng thái cơ sở dữ liệu/trạng thái cơ sở dữ liệu hoặc nhật ký để xác định xem nó đã được xử lý chưa. Lý tưởng nhất, quy trình ở phía máy chủ phải là không có giá trị nếu có thể và sẽ phải bảo vệ chống lại các lần gửi song song nếu không thể.

Answer 2

Bạn có thể cung cấp "vé" như một phần của biểu mẫu, một số số ngẫu nhiên - và đảm bảo rằng nó không được chấp nhận hai lần, ở phía máy chủ.

Answer 3

Hai giải pháp server-side tôi suy nghĩ:

1. Tạo một lần sử dụng "thẻ" trong một trường mẫu ẩn. Khi một mã thông báo được sử dụng, nó sẽ bị xóa khỏi bất kỳ cơ sở dữ liệu hoặc đối tượng bối cảnh phiên nào mà bạn đang lưu trữ. Lần thứ hai, nó không được chấp nhận.
2. Đã nhận được thông tin bộ nhớ cache và nếu nhận được biểu mẫu giống hệt nhau trong một khoảng thời gian nhất định (10 phút? Một giờ? Bạn quyết định!) Nó bị bỏ qua.

Answer 4

Triển khai uniqueid để đi cùng với yêu cầu và đăng nhập cùng với quá trình thực thi. Nếu id đã được đăng nhập, bạn không thực hiện lại công việc. Điều này giống như giải pháp dự phòng - bạn nên thử và vô hiệu hóa nút hoặc liên kết clientside cũng như bạn đã đề xuất cho mình

Answer 5

Tôi muốn sử dụng dấu thời gian và so sánh các giá trị với mã phía máy chủ của bạn. Nếu hai dấu thời gian đủ gần và có cùng địa chỉ IP, hãy bỏ qua việc gửi biểu mẫu thứ hai.

Answer 6

chúng tôi sử dụng thẻ có thời gian nhạy cảm, một lần. Nó giống như một phiên id của sắp xếp. Nhưng nó được gắn với biểu mẫu/trang.

Bạn hủy vé khi người dùng gửi trang và bạn chỉ xử lý các trang đi kèm với một vé hợp lệ. Bạn có thể, đồng thời, thắt chặt an ninh bằng cách đính kèm vé cho người dùng, vì vậy nếu một vé đi vào đó được gửi bởi người dùng không phải là người dùng mà vé đã được gửi đến, bạn từ chối yêu cầu.

Answer 7

Struts có thứ như thế này được tích hợp sẵn nếu bạn tình cờ sử dụng nó.

http://struts.apache.org/1.x/apidocs/org/apache/struts/util/TokenProcessor.html