【精品】防止表单重复提交方法汇总

背景

表单重复提交会造成数据重复，增加服务器负载，严重甚至会造成服务器宕机等情况，有效防止表单重复提交有一定的必要性。
常见的防止表单重复提交解决方案有以下几种：

一、通过一个标识来控制表单提交之后，再次提交会直接返回处理

示例：

<html>
<head><title>防止表单重复提交</title>
</head>
<body><form action="/path/post" onsubmit="return dosubmit()" method="post"><input type="submit" value="提交" id="submit"></form><script type="text/javascript">//默认提交状态为falselet isCommitted = false;function dosubmit(){if(isCommitted == false){//提交表单后，讲提交状态改为truecommitStatus = true;//返回true，让表单正常提交return true;}else{return false;}}
</script>
</body>
</html>

注意：通过js代码，当用户点击提交按钮后，屏蔽提交按钮使用户无法点击提交按钮或点击无效，从而实现防止表单重复提交。

二、通过点击提交一次按钮之后，将该按钮设置为不可用处理

示例：

<html>
<head><title>防止表单重复提交</title>
</head>
<body><form action="/path/post" onsubmit="return dosubmit()" method="post"><input type="submit" value="提交" id="submit"></form><script type="text/javascript">function dosubmit() {//获取表单提交按钮Var btnSubmit = documen.getElementById("sumit");//将表单提交按钮设置为不可用，可以避免用户再次点击提交按钮进行提交btnSubmit.disabled = "disabled";//返回true让表单可以提交return true;}</script>
</body>
</html>

注意：通过js代码，当用户点击提交按钮后，屏蔽提交按钮使用户无法点击提交按钮或点击无效，从而实现防止表单重复提交。

三、给数据库增加唯一键约束

在创建数据库建表的时候在ID字段添加主键约束，用户名、邮箱、电话等字段加唯一性约束，以确保数据库只可以添加一条数据。数据库加唯一性约束sql：

alter table tableName_xxx add unique key uniq_xxx(field1, field2)

服务器及时捕捉插入数据异常：

try {xxxMapper.insert(user);
} catch (DuplicateKeyException e) {logger.error("user already exist");
}

注意：通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单（攻击网站），服务器大量执行sql插入语句，增加服务器和数据库负荷。

四、利用Session+token防止表单重复提交（建议）

原理

服务器返回表单页面时，会先生成一个token保存于session，并把该toen传给表单页面。当表单提交时会带上token，服务器拦截器Interceptor会拦截该请求，拦截器判断session保存的token和表单提交token是否一致：若不一致或session的token为空或表单未携带token则不通过；首次提交表单时session的token与表单携带的token一致走正常流程，然后拦截器内会删除session保存的token。当再次提交表单时由于session的token为空则不通过。从而实现了防止表单重复提交。

步骤

在服务器端生成一个唯一的token(令牌)，同时在当前用户的Session域中保存这个token。
将token发送到客户端的form表单中，在form表单中使用隐藏域来存储这个token，表单提交的时候连同这个token一起提交到服务器端。
在服务器端判断客户端提交上来的token与服务器端生成的token是否一致：如果不一致，那就是重复提交了，此时服务器端就可以不处理重复提交的表单；如果相同则处理表单提交，处理完后清除当前用户的Session域中存储的token。

示例

第一步：定义防止重复提交注解

在打开页面方法上，设置createToken()为true，此时拦截器会在Session中保存一个token，同时需要在页面中添加<input type="hidden" name="token" th:value="${session.token}">，保存方法需要验证重复提交的，设置removeToken为true，此时会在拦截器中验证是否重复提交

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Resubmit {/*** 创建Token* @return*/boolean createToken() default false;/*** 移除Token* @return*/boolean removeToken() default false;
}

第二步：创建拦截器

@Slf4j
public class ResubmitInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {if(handler instanceof HandlerMethod){HandlerMethod handlerMethod = (HandlerMethod) handler;Method method = handlerMethod.getMethod();Resubmit annotation = method.getAnnotation(Resubmit.class);if (annotation != null) {boolean saveSession = annotation.createToken();if (saveSession) {//在服务器端生成一个唯一的token(令牌)，同时在当前用户的Session域中保存这个tokenString token = System.currentTimeMillis() + new Random().nextInt(999999999) + "";request.getSession(false).setAttribute("token", token);}boolean removeSession = annotation.removeToken();if (removeSession) {if (isRepeatSubmit(request)) {log.warn("重复提交：" + "url:" + request.getServletPath());request.setAttribute("url",request.getServletPath());response.sendRedirect(request.getContextPath()+"/resubmitError");return false;}// 处理完后清除当前用户的Session域中存储的tokenrequest.getSession(false).removeAttribute("token");}}}return true;}/*** 在服务器端判断客户端提交上来的token与服务器端生成的token是否一致* - 如果不一致，那就是重复提交了，此时服务器端就可以不处理重复提交的表单* - 如果相同则处理表单提交* @param request* @return 重复提交返回true，否则返回false*/private boolean isRepeatSubmit(HttpServletRequest request) {Object token = request.getSession(false).getAttribute("token");if(token == null){return true;}String serverToken = (String) token;if (serverToken == null) {return true;}String clientToken = request.getParameter("token");if (clientToken == null) {return true;}if (!serverToken.equals(clientToken)) {return true;}return false;}
}

第三步：配置拦截器

@Configuration
public class WegoMvcConfig implements WebMvcConfigurer {/*** 拦截器配置*/@Overridepublic void addInterceptors(InterceptorRegistry registry) {//注册防重复提交拦截器registry.addInterceptor(new ResubmitInterceptor()).addPathPatterns("/**");}
}

第四步：控制器

@Controller
public class SecurityController {/*** 打开注册页面*/@GetMapping("openRegister")@Resubmit(createToken = true)String openRegister() {return "frontend/register";}/*** 注册逻辑*/@PostMapping("/register")@Resubmit(removeToken = true)String register(UserRegisterDTO userRegisterDTO, HttpSession session, Model model) {//……}@GetMapping("/resubmitError")String error(){return "frontend/resubmitError";}
}

第五步：页面

<html lang="en" xmlns:th="http://www.thymeleaf.org">
<body><form id="registerForm" class="reg" method="post" th:action="@{/user/register}"><!--防止表单重复提交--><input type="hidden" name="token" th:value="${session.token}">账户名：<input id="account" name="account" type="text"/>请设置密码：<input id="password1" name="password1" type="password"/>请确认密码：<input id="password2" name="password2" type="password"/><input  type="submit" value="注册"/></form>
</body>
</html>

resubmitError.html

<html lang="en" xmlns:th="http://www.thymeleaf.org">
<body><h2>重复提交<h2>
</body>
</html>

五、使用Redis+AOP自定义切入实现 `（推荐）`

原理：

自定义防止重复提交标记（@AvoidRepeatableCommit）
对需要防止重复提交的Controller里的mapping方法加上该注解
新增Aspect切入点，为@AvoidRepeatableCommit加入切入点
每次提交表单时，Aspect都会保存当前key到redis（须设置过期时间）
重复提交时Aspect会判断当前redis是否有该key，若有则拦截。

示例

第一步：创建注解

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Resubmit {/*** 指定时间内不可重复提交,单位毫秒，默认120000毫秒*/long timeout()  default 120000 ;
}

第二步：创建增强

@Slf4j
@Aspect
@Component
public class ResubmitAspect {@Resourceprivate StringRedisTemplate stringRedisTemplate;@Around("@annotation(com.wego.common.utils.resubmit.Resubmit)")public Object around(ProceedingJoinPoint point) throws Throwable {ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();HttpServletRequest request = attributes.getRequest();Object userObj = request.getSession(false).getAttribute("user");UserSession user = null;if(userObj != null){user = (UserSession) userObj;}MethodSignature signature = (MethodSignature) point.getSignature();Method method = signature.getMethod();//目标类、方法String className = method.getDeclaringClass().getName();String methodName = method.getName();String fullMethodName = String.format("%s.%s", className, methodName);String key = String.format("%s_%d", Math.abs(user.hashCode()), Math.abs(fullMethodName.hashCode()));log.info(String.format("ipKey=%s,hashCode=%s,key=%s", fullMethodName, user, key));//通过反射技术来获取注解对象Resubmit resubmit = method.getAnnotation(Resubmit.class);long timeout = resubmit.timeout();if (timeout < 0) {//过期时间10秒timeout = 2;}//获取key键对应的值String value = stringRedisTemplate.opsForValue().get(key);if (value != null && value.length() > 0) {return  "请勿重复提交！";}//新增一个字符串类型的值，key是键，value是值。stringRedisTemplate.opsForValue().set(key, UUID.randomUUID().toString(), timeout, TimeUnit.MINUTES);//返回继续执行被拦截到的方法    return point.proceed();}
}

第三步：控制器

@RestController
public class DemoController {@Resubmit //自定义注解@GetMapping("/fun")public String fun() {System.out.println("fun");return "fun";}
}

测试

第一次请求：

再次请求：