有什么方法(在 Java Servlet 中)可以确定 HTTP POST 或 GET 请求是来自 HTML 表单还是其他提交的结果?
7 回答
您可以使用隐藏的表单字段 + cookie 来做到这一点。
您可以做的是设置一个nonce,并将其作为表单的隐藏字段。然后,您将其应用于与表单一起发送的 cookie。cookie 应该链接到隐藏字段,并且还应该包含某种随机数。最后,当表单提交时,你可以检查cookie和隐藏字段,看看它们是否正确。如果需要,将其链接到表单原始请求的 IP 地址和用户代理。你甚至可以用一些 Javascript 来增加这一切。首先将隐藏字段设为空白,然后使用一些 ajax 从服务器请求隐藏字段随机数。
这不会是完美的,但这应该会让你达到 80%-90% 的目标。但是,具有良好 HTTP 技能的人仍然可以欺骗它。
然而,它提出了一个问题,为什么要在该级别区分请求?
或者你真的只是想弄清楚用户是否点击了“提交”按钮?(如果是这种情况,那么提交按钮的名称/值对应该在请求实体/查询字符串中......取决于表单方法。)
我认为这是不可能的,除非客户端本身正在合作(意味着客户端设置了一些标题)
并不真地。您可以检查用户代理字符串,但可以由调用者设置。
好吧,您可以查看代理字符串,看看它是来自浏览器还是来自您的客户端应用程序(假设它有自己的代理字符串)
如果您可以控制客户端,则可以附加自定义标头来识别发件人。
一些 javascript 库在生成 XmlHTTPRequests 时已经这样做了,因此您可以处理与标准请求不同的 Ajax 调用。
检查每个传入请求的标头,看看是否有任何可以使用的东西。
使用一些 JavaScript 来设置一些值。
您不清楚是要区分合法的不同访问方法,还是要对抗伪造的攻击(即试图看起来像普通用户的机器人或黑客)。
在第一种情况下,keprao 对检查标题有一些很好的建议。在第二种情况下,基本上无法区分请求,尽管机器人可能会受到验证码或身份验证的阻碍。