Ajax环境下表单防重复、外部提交实现方案记要

背景:

js lib: Ext 3.3.0,未使用 struts、Spring MVC;

 

所有的表单都由 Ext js 方法生成(即非传统 http form 形式, http 源代码中无 form 元素),后台 http request -> action 的处理机制是和 struts、Spring MVC 的实现相仿。

 

方案核心:

通过 token 机制来防止表单重复或外部提交(非常非常的寻常)。

 

方案实现:

如果用 struts 就简单了,加个<s:token/> 再配个 TokenInterceptor 就搞定了 (存在漏洞,详见底部)。

如果用 Spring MVC 就简单了,写个 TokenHandlerInterceptor extends HandlerInterceptorAdapter 再配置下也搞定了。

 

不用 struts、Spring MVC 其实也简单,参考 Spring MVC 在  http request -> action 的处理中加上拦截器机制,再参考 struts 实现 TokenInterceptor 就搞定了。

 

关于 token 值的提交方式:由于form非常规,无法往 form 里添加 token 元素,既然放不到 request body 里,那就放到 request header 里,放到 header 里其实相对来说更灵活些(另外似乎还能避免1个漏洞,详见底部)。

 

Ext request 加 header :

 

Ext.Ajax.defaultHeaders = {
    'Req-Token': tokenValue
};

注:header 的名称是不区分大小写的,根据实际测试情况,IE下通常会把 header 名称都变成小写,而 Firefox 和 Chrome 基本上不会改变,header 名称和我们代码里所写的名称是一致的。后台获取 header 值时需注意这个情况。

 

同样的,response 里也加个 header,将新的 token 值传给客户端。

不专门提供一个获取 token 值的 servlet 的原因:主要是怕该 servlet 压力过大。

 

另外,不能将 token值的提交和form提交分开,必须在同一个请求中同时提交,原因:分开提交无法防止外部提交等非法提交方式。

 

关于是否需要进行 token 校验:由于 TokenInterceptor 配上了,则默认会对所有 request 均校验,为了支持按需进行校验,自定义了@Token 注解,需要校验的action方法只要加上 @Token 即可(注解是个好东西)。

 

特别注意:

CSRF

CSRF攻击原理解析

Struts2 csrf token绕过漏洞

 

你可能感兴趣的:(Ajax,ext,token,CSRF)