<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/>
<title>AJ Security 框架-防止重复提交</title>
<meta name="description" content="实用的 Java Web 安全库。防止重复提交(如表单或接口的“二次提交”、“刷新重复”)是后端开发常见的需求"/>
<meta name="keywords" content="security, xss, csrf, captcha, last one"/>
<meta name="viewport" content="width=device-width, initial-scale=1"/>
<link rel="stylesheet" href="https://framework.ajaxjs.com/static/font/font.css" />
<link rel="stylesheet" href="/asset/main.css"/>
<link rel="icon" type="image/x-icon" href="https://framework.ajaxjs.com/aj-logo/logo.ico"/>
<script src="https://framework.ajaxjs.com/static/aj-docs/common.js"></script>
<script>
var userLang = navigator.language || navigator.userLanguage;
if (userLang.startsWith('zh') && location.pathname.indexOf('cn') == -1) {
confirm('欢迎!您可以改为访问中文内容。是否继续?') && location.assign('/cn');
}
var _hmt = _hmt || [];
(function() {
var hm = document.createElement("script");
hm.src = "https://hm.baidu.com/hm.js?950ba5ba1f1fe4906c3b4cf836080f03";
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(hm, s);
})();
</script>
</head>
<body>
<nav>
<div>
<div class="links">
<a href="/">🏠 首页</a>
| ⚙️ 源码:
<a target="_blank" href="https://github.com/lightweight-component/aj-security">Github</a>/<a target="_blank" href="https://gitcode.com/lightweight-component/aj-security">Gitcode</a>
|
<a href="/">英文版本</a>
</div>
<h1><img src="https://framework.ajaxjs.com/aj-logo/logo.png" style="vertical-align: middle;height: 45px;margin-bottom: 6px;" /> AJ Security</h1>
<h3>用户手册</h3>
</div>
</nav>
<div>
<menu>
<ul>
<li class="selected">
<a href="/cn">首页</a>
</li>
<li>
<a href="/install-cn">安装与配置</a>
</li>
</ul>
<h3>HTTP Web 安全</h3>
<ul>
<li>
<a href="/http/http-referer-cn">HTTP Referer 校验</a>
</li>
<li>
<a href="/http/timestamp-cn">时间戳加密 Token 校验</a>
</li>
<li>
<a href="/http/paramssign-cn">请求参数防篡改</a>
</li>
<li>
<a href="/http/ip-list-cn">IP 白名单/黑名单</a>
</li>
<li>
<a href="/http/nonrepeatsubmit-cn">防止重复提交数据</a>
</li>
</ul>
<h3>一般性 Web 校验</h3>
<ul>
<li>
<a href="/classic/xss-cn">防止 XSS 跨站攻击</a>
</li>
<li>
<a href="/classic/crlf-cn">防止 CRLF 攻击</a>
</li>
</ul>
<h3>验证码 Captcha 机制</h3>
<ul>
<li><a href="/captcha/img-captcha-cn">图片验证码</a></li>
<li><a href="/captcha/google-cn">基于 Google 的验证码</a></li>
<li><a href="/captcha/cf-cn">基于 CloudFlare 的验证码</a></li>
</ul>
<h3>HTTP 标准认证</h3>
<ul>
<li><a href="/auth/http-basic-auth-cn">HTTP Basic Auth 认证</a></li>
<li><a href="/auth/http-digest-auth-cn">HTTP Digest Auth 认证</a></li>
</ul>
<h3>API 接口功能</h3>
<ul>
<li><a href="/api/limit-cn">限流限次数</a></li>
</ul>
<h3>其他实用功能</h3>
<ul>
<li><a href="/misc/desensitize-cn">实体字段脱敏</a></li>
<li><a href="/misc/encryption-api-cn">API 接口加解密</a></li>
<li><a href="/misc/trace-id-cn">链路跟踪记录</a></li>
</ul>
</menu>
<article>
<h1>防止重复提交</h1>
<p>防止重复提交(如表单或接口的“二次提交”、“刷新重复”)是后端开发常见的需求。常用的校验和防护方案如下:</p>
<h2>前端禁用按钮(基础方案)</h2>
<p>在表单提交时,前端禁用按钮或显示 loading,防止用户多次点击。 只能防误操作,不能防止恶意或快速重复提交。</p>
<h2>后端幂等性校验</h2>
<p>前端禁用按钮只能防止误操作,后端校验才安全可靠。</p>
<h3>唯一 Token 校验</h3>
<ul>
<li>前端请求表单页时,后端生成唯一 token(如 UUID),返回给前端。</li>
<li>前端提交表单时带上 token。</li>
<li>后端校验 token 是否已用过,用过即拒绝,并立即让 token 失效。</li>
<li>实现方式可用 Redis、数据库等存储 token。</li>
</ul>
<h3>基于请求内容的唯一性校验</h3>
<ul>
<li>针对同一用户、同一业务参数,在短时间内只能提交一次。</li>
<li>可用请求参数哈希(如 MD5)、加上用户 ID,作为 Redis Key,短时间内只能用一次。</li>
</ul>
<h2>参考</h2>
<ul>
<li><a href="https://mp.weixin.qq.com/s/tVkeyrDNc_scRusbClrY1w">resubmit 渐进式防重复提交框架</a></li>
</ul>
</article>
</div>
<footer>
AJ Security,开源框架 <a href="https://framework.ajaxjs.com" target="_blank">AJ-Framework</a> 的一部分。联系方式:
frank@ajaxjs.com,<a href="https://blog.csdn.net/zhangxin09" target="_blank">作者博客</a>
<br />
<br />
Copyright © 2025 Frank Cheung. All rights reserved.
</footer>
</body>
</html>
