重复提交保护策略：扼杀网站漏洞，保证高效服务

后端

2023-04-16 01:21:40

重复提交：网站的隐患

前言

网站的流畅和安全是至关重要的，而重复提交是一个常见的威胁，可能会破坏这些基本要素。在这篇文章中，我们将深入探讨重复提交的危害，并提供一些实用的策略来防范它。

重复提交的危害

重复提交是指用户在短时间内多次提交相同请求。这可能导致严重的后果，包括：

数据完整性受损： 重复提交会多次插入或更新相同数据，导致数据完整性受损，甚至可能丢失。
用户体验不佳： 用户可能会看到错误消息，或者等待时间过长，这会严重影响他们的体验。
系统性能下降： 重复提交会增加服务器负载，减慢系统速度，甚至导致崩溃。

防范重复提交的策略

为了保护网站免受重复提交的危害，可以采用以下策略：

双向提交

双向提交机制要求服务器生成一个令牌，并在第一次请求中发送给客户端。在随后的请求中，客户端必须返回该令牌。如果令牌有效，服务器会处理请求；否则，服务器会拒绝请求。

GET-POST

GET-POST 方法涉及使用 GET 请求获取令牌，然后使用 POST 请求提交数据。服务器会在第一次请求中生成令牌，并在第二次请求中验证令牌的有效性。

幂等性

幂等请求不会因多次执行而产生不同的结果。这意味着即使请求被重复提交，也不会对数据造成影响。

乐观锁

乐观锁假设数据在更新时没有被修改。它使用版本号字段来跟踪数据的更改。如果版本号匹配，则更新会继续；否则，更新会被拒绝。

悲观锁

悲观锁假设数据在更新时可能已被修改。它在更新数据之前对其进行锁定，以防止并发访问导致数据不一致。

令牌

令牌是随机生成的字符串，在每次请求中都会创建。客户端在提交请求时需要提供令牌。服务器会验证令牌的有效性，只有在令牌有效的情况下才会处理请求。

会话

会话机制在服务器上存储有关用户的信息。当用户登录时，服务器会创建一个会话，并生成一个会话 ID。客户端在每次请求中都必须提供会话 ID。服务器会验证会话 ID 的有效性，只有在会话 ID 有效的情况下才会处理请求。

限制速率

限制速率机制限制每秒或每小时允许的请求数量，从而防止恶意用户滥用网站资源。

缓冲区

缓冲区用于存储重复提交的请求。服务器异步处理这些请求，避免系统崩溃。

缓存

缓存存储经常被访问的数据，从而减少服务器负载并提高性能。

日志

记录重复提交的请求可以帮助发现安全漏洞并及时采取措施。

监控

对网站进行监控可以检测到重复提交的请求，从而帮助管理员在异常情况下采取行动。

代码示例

PHP

// 双向提交
$token = bin2hex(random_bytes(16));
$_SESSION['token'] = $token;

// GET-POST
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  $token = $_POST['token'];
  if (!isset($_SESSION['token']) || $_SESSION['token'] !== $token) {
    die('Invalid token');
  }
}

// 限制速率
$limit = 100;
$count = $_SERVER['REMOTE_ADDR'];
if ($count > $limit) {
  die('Too many requests');
}

JavaScript

// 令牌
const token = Math.random().toString(36).substring(7);
document.querySelector('form').addEventListener('submit', (e) => {
  e.preventDefault();
  const data = new FormData(e.target);
  data.append('token', token);
  fetch('/submit', {
    method: 'POST',
    body: data
  }).then(() => {
    // 请求已处理
  }).catch((error) => {
    // 处理错误
  });
});