Запобігання повторної подачі форми

Сторінка перша містить форму HTML. Сторінка друга - код, який обробляє подані дані.

Форма на сторінці перша надсилається. Браузер перенаправляється на другу сторінку. Сторінка дві обробляє подані дані.

У цей момент, якщо друга сторінка оновлюється, з’являється повідомлення "Підтвердити повторну подачу форми".

Чи можна цього запобігти?

Тут використовувались два підходи:

Спосіб 1: Використовуйте перенаправлення AJAX +

Таким чином ви розміщуєте форму у фоновому режимі, використовуючи JQuery або щось подібне до Page2, тоді як користувач все ще бачить сторінку1. Після успішної публікації ви перенаправляєте браузер на сторінку2.

Спосіб 2: Опублікувати + Переспрямувати себе

Це поширена техніка на форумах. Форма на Page1 розміщує дані на сторінці Page2, Page2 обробляє дані та робить те, що потрібно зробити, а потім перенаправляє HTTP на себе. Таким чином, остання «дія», яку пам’ятає браузер, - це простий GET на сторінці2, тому форма не надсилається повторно після F5.

Вам потрібно використовувати PRG - Post / Redirect / Get pattern, і ви щойно реалізували P PRG. Вам потрібно перенаправити . (Зараз дні вам перенаправлення взагалі не потрібно. Дивіться це )

PRG - це модель дизайну веб-розробок, яка запобігає надходженню дублікатів форми, що означає, Надіслати форму (Запит 1) -> Перенаправлення -> Отримати (Запит 2)

Under the hood

Код статусу перенаправлення - HTTP 1.0 з HTTP 302 або HTTP 1.1 з HTTP 303

Відповідь HTTP з кодом статусу переспрямування додатково надасть URL-адресу в полі заголовка місцезнаходження. Агент користувача (наприклад, веб-браузер) пропонує відповідь з цим кодом зробити другий, інакше ідентичний, запит на нову URL-адресу, вказану в полі розташування.

Код статусу переспрямування повинен гарантувати, що в цій ситуації браузер веб-користувача може безпечно оновити відповідь сервера, не викликаючи повторного подання початкового HTTP POST-запиту.

Double Submit Problem

Post/Redirect/Get Solution

Джерело

Безпосередньо, ви не можете, і це добре. Попередження браузера існує з причини. Ця тема повинна відповісти на ваше запитання:

Запобігати показу кнопці "Назад" показувати попередження про підтвердження POST

Запропоновано два ключових способи вирішення: модель PRG та подання AJAX з подальшим перенесенням сценарію.

Зауважте, що якщо ваш метод дозволяє отримати GET, а не метод подання POST, це дозволить вирішити проблему і краще відповідатиме умові. Ці рішення надаються на основі припущення, що ви хочете / потребуєте POST даних.

Єдиний спосіб бути впевненим в тому, що одна і та ж форма ніколи не надсилається двічі, - це вставити унікальний ідентифікатор у кожен з них, який ви видаєте, і відстежити, які з них були подані на сервері. Проблема полягає в тому, що якщо користувач створює резервну копію сторінки, де була форма, і вводить нові дані, та сама форма не працюватиме.

Є дві частини відповіді:

1. Переконайтесь, що дублікати публікацій не псуються з вашими даними на стороні сервера. Для цього вставте в публікацію унікальний ідентифікатор, щоб ви могли відхиляти наступні запити на стороні сервера. Ця схема називається Idempotent Receiver в умовах обміну повідомленнями.

2. Переконайтеся, що користувача не турбує можливість дублювання подань обох

   • переадресація на GET після POST (POST перенаправлення GET pattern)
   • відключення кнопки за допомогою javascript

Ніщо, що ви робите у віці до 2 років, повністю не завадить повторювати подання. Люди можуть натискати дуже швидко, і хакери можуть публікувати публікації в будь-якому випадку. Вам завжди потрібен 1. якщо ви хочете бути абсолютно впевнені, що немає дублікатів.

Якщо ви оновите сторінку з даними POST, браузер підтвердить вашу повторну подачу. Якщо ви використовуєте дані GET, повідомлення не відображатиметься. Ви також можете мати другу сторінку, збереживши подання, перенаправити на третю сторінку без даних.

Ну, я знайшов, що ніхто не згадав про цю хитрість.

Без перенаправлення ви все одно можете запобігти підтвердженню форми під час оновлення.

За замовчуванням код форми такий:

<form method="post" action="test.php">

тепер, змініть його на <form method="post" action="test.php?nonsense=1">

Ви побачите чари.

Я думаю, що це тому, що браузери не запускають спливаюче повідомлення про підтвердження, якщо в URL-адресі буде отримано метод GET (рядок запиту).

Це можна зробити за допомогою jquery

<script>
   $(document).ready(function(){
   window.history.replaceState('','',window.location.href)
   });
</script>

Це найелегантніший спосіб запобігти повторному надходженню даних після надсилання повідомлення.

Сподіваюся, це допомагає.

Шаблон PRG може запобігти лише повторне надсилання, викликане оновленням сторінки. Це не 100% безпечний захід.

Зазвичай я буду вживати заходів нижче, щоб запобігти повторному надсиланню:

1. Клієнтська сторона - Використовуйте javascript для запобігання повторного натискання кнопки, яка спричинить подання форми. Ви можете просто відключити кнопку після першого клацання.

2. Сторона сервера - я обчислить хеш на поданих параметрах і збережу цей хеш у сеансі чи базі даних, тож коли надійшло дублюване подання, ми зможемо виявити дублювання, а потім належну відповідь клієнту. Однак ви можете впоратися з генеруванням хешу на стороні клієнта.

У більшості випадків ці заходи можуть допомогти запобігти повторній подачі.

Мені дуже подобається відповідь @ Ангеліна. Але якщо ви маєте справу зі старим кодом, де це не практично, ця методика може працювати для вас.

У верхній частині файлу

// Protect against resubmits
if (empty($_POST))  {
   $_POST['last_pos_sub'] = time();
} else {
     if (isset($_POST['last_pos_sub'])){
        if ($_POST['last_pos_sub'] == $_SESSION['curr_pos_sub']) {
           redirect back to the file so POST data is not preserved
        }
        $_SESSION['curr_pos_sub'] = $_POST['last_pos_sub'];
     }
}

Потім в кінці форми вклейте last_pos_subтак:

<input type="hidden" name="last_pos_sub" value=<?php echo $_POST['last_pos_sub']; ?>>

Спробуйте трис:

function prevent_multi_submit($excl = "validator") {
    $string = "";
    foreach ($_POST as $key => $val) {
    // this test is to exclude a single variable, f.e. a captcha value
    if ($key != $excl) {
        $string .= $key . $val;
    }
    }
    if (isset($_SESSION['last'])) {
    if ($_SESSION['last'] === md5($string)) {
        return false;
    } else {
        $_SESSION['last'] = md5($string);
        return true;
    }
    } else {
    $_SESSION['last'] = md5($string);
    return true;
    }
}

Як використовувати / приклад:

if (isset($_POST)) {
    if ($_POST['field'] != "") { // place here the form validation and other controls
    if (prevent_multi_submit()) { // use the function before you call the database or etc
        mysql_query("INSERT INTO table..."); // or send a mail like...
        mail($mailto, $sub, $body); // etc
    } else {
        echo "The form is already processed";
    }
    } else {
    // your error about invalid fields
    }
}

Шрифт: https://www.tutdepot.com/prevent-multiple-form-submission/

використовувати js для запобігання додавання даних:

if ( window.history.replaceState ) {
    window.history.replaceState( null, null, window.location.href );
}