如何防止多次提交和重复刷新

多次提交和重复刷新是web程序中容易被忽视但是却很重要的地方。比如一段程序在提交后就会转账，如果没做任何处理，用户多次刷新就会造成多次实际的转账发生，这样的程序是不能接受的。

对于多次提交问题。可以针对终端用户分为恶意的和非恶意的。

非恶意的多次提交，可以发生的场景如下：

1. 响应太慢，用户不知道之前是否提交成功，于是再次提交

2. 用户无聊，连续随便点击

3. 用户提交过到新页面之后，又误操作回退到之前的页面，然后再次提交

恶意的多次提交，可以发生的场景如下：

4. 黑客写程序对网站进行刷新的提交

很自然想到解决方法一，只需要在点击之后前端让按钮disable就行了，但是显然对于误用和恶意的情况只靠前端防护是不行的。

于是解决方法二则是后端的防护，在进入提交页面时服务器端当前用户session中存放一个随机token，并将token传给客户端，在提交时客户端将这个token传到服务器比对这个token是否一致。如果一致表示是第一次提交，修改服务器端这个token并返回客户端；如果不一致说明是重复提交，拒绝客户请求。

而根据token存放的位置，又可以再划分为下面几种方式：

1. token放在cookie中返回，优点是对前端来说是透明的，浏览器会自动将cookie中的token附带到下一次请求；缺点是，这种方式能防止多次提交，但是不能防止CSRF。

2. token放在response的content返回，前端代码解析后放到request中的参数列表中（即GET方式）；这种方式可能需要前端代码做额外的附加动作，但是可以适用于一些不能使用cookie的场合，而且防止了CSRF。

3. token放到表单中的hidden域（即POST方式），在提交后，后端根据表单中的token来解析，好处是，防止了CSRF攻击