jsp防止重复提交表单

在处理JSP页面重复提交之前,首先要明白request和session的概念.并且很清晰的知道他们各自的工作原理.

Session,存在于服务器端的内存中,当客户端发送request到服务端,包含的session信息为sessionId. request.getSession().这个方法是经常使用的一个方法,但是它并不是表示session就存在于request中,而是request通过sessionId从服务器的内存中取得session这个对象.
还有一个方法,session.setAttribute(),这个方法,是把一个对象保存到了客户端了么?没有,这个方法只把对象保存在了服务端的内存中.
从这里就很清晰的明白了一个道理,在session中的对象不一定会在request中存在,而request中的对像也不一定会在session中存在.

接下来来说防止重复提交的原理:
说简单点,防止重复提交的原理就是在服务端和在客户端同时存在一个Token,当客户端发送一个request到服务端的时候,包含这个token的信息,当然,这个请求同样会包含当前的sessionID,
当请求到达服务端的时候,服务端用过sessionID去得到当前的session,并且在该session中查找改Token,并且与request中所包含的Token进行比较,如果相同责为有效请求,在请求有效之前从session将该Token删除,这样,如果重复提交,则为无效请求.

用一段代码来表示吧.
首先定义两个变量

public static String TOKEN_FOR_SESSION="token.for.session";
public static String TOKEN_FOR_REQUEST="token.for.request";

这两个字段不需要太多的解释.

考虑add这个方法需要防止重复提交,因此在add发出的这个request的时候,一定需要包含这个TOKEN,
因此,需要增加一个toAdd这样一个方法,在这个方法中,转向add这个页面,而toAdd这个方法中的概要代码：
String token=getToken();
request.setAttribute(TOKEN_FOR_REQUIRED,token);
session.setAttribute(TOKEN_FOR_SESSION,token);
request.getRequestDispatcher("/add.jsp").forward(request,response);
对于这段代码也不需要太多的解释

在add.jsp中包含如下信息：
<input type="hidden" value="${token.for.request}"/>

在add的action处理中：

String savedToken=request.getSession().getAttribute(TOKEN_FOR_SESSION).toString();
String requestToken=request.getParameter(TOKEN_FOR_REQUEST);

request.getSession().removeAttribute(TOKEN_FOR_SESSION);
if(savedToken.equals(requestToken))
{
    //TODO:your own business logic.
}

这个就是防止重复提交的概要思想．

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/seablue_xj/archive/2009/12/03/4934367.aspx