王秋城博客

王秋城博客

0%

防止重复提交–浏览器后退

发表于 分类于

oken,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。
那么,Token有什么作用?又是什么原理呢?
Token一般用在两个地方:

  1. 防止表单重复提交、
  2. anti csrf攻击(跨站点请求伪造)。
    两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。

然后,如果应用于“anti csrf攻击”,则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。

不过,如果应用于“防止表单重复提交”,服务器端第一次验证相同过后,会将session中的Token值更新下,若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。
上面的session应用相对安全,但也叫繁琐,同时当多页面多请求时,必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降低。因此,也可用cookie存储验证信息的方法来代替session Token。比如,应对“重复提交”时,当第一次提交后便把已经提交的信息写到cookie中,当第二次提交时,由于cookie已经有提交记录,因此第二次提交会失败。

不过,cookie存储有个致命弱点,如果cookie被劫持(xss攻击很容易得到用户cookie),那么又一次gameover。黑客将直接实现csrf攻击。

所以,安全和高效相对的。具体问题具体对待吧。

此外,要避免“加token但不进行校验”的情况,在session中增加了token,但服务端没有对token进行验证,根本起不到防范的作用。

还需注意的是,对数据库有改动的增删改操作,需要加token验证,对于查询操作,一定不要加token,防止攻击者通过查询操作获取token进行csrf攻击。但并不是这样攻击者就无法获得token,只是增大攻击成本而已。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
import java.security.MessageDigest;  
import java.security.NoSuchAlgorithmException;  
import java.util.Random;  
  
import javax.servlet.http.HttpServletRequest;  
  
import sun.misc.BASE64Encoder;  
  
/** 
 * @description: 令牌处理,防止重复提交 
 * @author: shaojie 
 * @date: 2014-5-21 下午02:32:49 
 * @version: 1.0 
 */  
public class TokenProcessor {  
      
    /** 
     * 生成一个令牌 
     * @return String 
     */  
    public String generateToken()  {    
        String token=System.currentTimeMillis()+new Random().nextInt()+“”;    
        try {    
            MessageDigest md=MessageDigest.getInstance(“md5”);    
            byte[] md5=md.digest(token.getBytes());    
            //base64编码    
            BASE64Encoder encoder=new BASE64Encoder();    
            return encoder.encode(md5);    
        } catch (NoSuchAlgorithmException e) {    
            // TODO Auto-generated catch block    
            throw new RuntimeException(e);    
        }    
    }    
      
    /** 
     * 管理令牌 
     * @param request 
     * @param mType 管理类型 p:存放 d:删除 
     * @param void 
     */  
    public void managerToken(HttpServletRequest request,String mType){  
        if(“p”.equals(mType)){  
            //产生随机数     
            String token=generateToken();    
            request.getSession().setAttribute(“token”, token);   
        }else if(“d”.equals(mType)){  
            request.getSession().removeAttribute(“token”);   
        }  
    }  
      
    /** 
     * 令牌是否验证通过 
     * @param request 
     * @return boolean 
     */  
    public boolean isTokenValid(HttpServletRequest request) {  
        String client_token = request.getParameter(“token”);  
        if (client_token == null) {  
            return false;  
        }  
        String server_token = (String) request.getSession().getAttribute(“token”);  
        if (server_token == null) {  
            return false;  
        }  
        if (!client_token.equals(server_token)) {  
            return false;  
        }  
        return true;  
    }   
}

然后在适当的位置存放令牌

1
token.managerToken(request, “p”);//存放令牌

然后提交订单时删除对应的令牌存放值

1
2
3
4
5
6
if(!token.isTokenValid(request)){  
    logger.info(“重复提交,phoneNo:”+phoneNo);  
    request.setAttribute(Constant.RETURNMSG, “不能重复提交同一订单”);  
    return checkresult;  
}  
token.managerToken(request, “d”);//删除令牌