常见的Web问题是用户多次单击表单的提交按钮,以便服务器多次处理表单。当用户点击已提交表单的后退按钮并再次处理时,也可能发生这种情况。
在ASP.NET MVC中阻止这种情况发生的最好办法是什么?
我看到的可能性是:
>在提交后禁用按钮 – 这可以绕过多个点击而不是导航
>接收操作立即重定向 – 浏览器似乎将这些重定向保留在历史记录之外
>在会话和表单中放置一个独特的标记 – 如果它们与表单匹配 – 如果不清楚新的提交的表单
还有更多吗?
有没有一些具体的实现这些?
我可以看到第三个选项被实现为一个具有HtmlHelper扩展名的ActionFilter,类似于防伪内容。
期待听到你MVC’ers在那里。
解决方法
人们经常忽视最常用的方法来处理这个使用随机钥匙的方法。
您可以使用PRG,因为其他人已经提到,但与PRG的缺点是它不能解决双击问题,它需要额外的旅程到服务器的重定向,并且由于最后一步是一个GET请求,你不要’可以直接访问刚刚发布的数据(尽管它可以作为查询参数传递或在服务器端维护)。
我喜欢Javascript解决方案,因为它的工作时间大部分时间。
然而,随便的键,一直工作。随机密钥是由服务器生成的随机唯一GUID(也保存在数据库中)并嵌入到表单中。当用户POST表单时,随机密钥也被发布。一旦POST进入服务器,服务器将验证其数据库中存在的随机数密钥。如果是这样,服务器将从数据库中删除密钥并处理该表单。因此,如果用户POST两次,则第二个POST将不被处理,因为在处理第一个POST后,该随机密钥被删除。
随机密钥具有额外的优势,它通过防止replay attacks(一个中间的人嗅探您的HTTP请求,然后将其重播到将其视为合法的服务器),从而带来额外的安全性。
