先看看在那些场景会导致重复请求:
- 手速快,不小心双击操作按钮。
- 很小心的点击了一次按钮,因为请求响应比较慢,页面没有任何提示,怀疑上次点击没生效,再次点击操作按钮。
- 很小心的点击了一次按钮,因为请求响应比较慢,页面没有任何提示,刷新页面,再次点击操作按钮。
前端方案
我们可以对症下药:
- 控制按钮,在短时间内被多次点击,第一次以后的点击无效。
- 控制按钮,在点击按钮触发的请求响应之前,再次点击无效。
- 配置特殊的URL,然后控制这些URL请求的最小时间间隔。如果再次请求跟前一次请求间隔很小,弹窗二次提示,是否继续操作。
防止无意识重复点击按钮
给按钮添加控制,在control 毫秒内,第一次点击事件之后的点击事件不执行。
<template>
<button @click="handleClick"></button>
</templage>
<script>
export default {
methods: {
handleClick(event) {
if (this.disabled) return;
if (this.notAllowed) return;
// 点击完多少秒不能继续点
this.notAllowed = true;
setTimeout(()=>{
this.notAllowed = false;
}, this.control)
this.$emit('click', event, this);
}
}
}
</script>
当然时间间隔可以设置,默认为300毫秒。我们无意识的重复点击一般在300毫秒以内。
按钮点击立马禁用,等响应回来才能继续点击
触发点击的button实例传入fetch配置,代码如下:
doQuery: function (button) {
this.FesApi.fetch(`generalcard/query`, {
sub_card_type: this.query.sub_card_type,
code_type: this.query.code_type,
title: this.query.title,
card_id: this.query.card_id,
page_info: {
pageSize: this.paginationOption.page_info.pageSize,
currentPage: this.paginationOption.page_info.currentPage
}
}, {
//看这里,加上下面一行代码就行。。so easy
button: button
}).then(rst => {
// 成功处理
});
}
在fetch函数内部,设置button的disabled=true,当响应回来时,设置disabled=false代码如下:
const action = function (url, data, option) {
// 如果传了button
if (option.button) {
option.button.currentDisabled = true;
}
// 记录日志
const log = requsetLog.creatLog(url, data);
return param(url, data, option)
.then(success, fail)
.then((response) => {
requsetLog.changeLogStatus(log, "success");
if (option && option.button) {
option.button.currentDisabled = false;
}
return response;
})
.catch((error) => {
requsetLog.changeLogStatus(log, "fail");
if (option && option.button) {
option.button.currentDisabled = false;
}
error.message && window.Toast.error(error.message);
throw error;
});
};
从根本入手,一招击杀
当页面刷新,页面状态重置,此时再次点击按钮,会判定为初次点击,而且按钮状态恢复可点击。我们可以设置哪些请求地址是重要的,它们请求间隔不能过小。如果过小,页面弹出覆层询问用户时候继续执行。
设置代码如下:
this.FesApi.setImportant({
"generalcard/action": {
control: 10000,
message: "您在十秒内重复发起手工清算操作,是否继续?",
},
});
而实现代码如下:
api.fetch = function (url, data, option) {
if (requsetLog.importantApi[url]) {
const logs = requsetLog.getLogByURL(url, data);
if (logs.length > 0) {
const compareLog = logs[logs.length - 1];
if (compareLog.status === "compare") {
requsetLog.creatLog(url, data, "notAllowed");
return {
then: () => {},
};
}
const importantApiOption = requsetLog.importantApi[url];
const control = importantApiOption.control || 10000;
const message =
importantApiOption.message ||
util.format("fesMessages.importInterfaceTip", { s: control / 1000 });
if (new Date().getTime() - compareLog.timestamp < control) {
const oldStatus = compareLog.status;
requsetLog.changeLogStatus(compareLog, "compare");
return new Promise((resolve, reject) => {
window.Message.confirm(util.format("fesMessages.tip"), message).then(
(index) => {
if (compareLog.status === "compare") {
requsetLog.changeLogStatus(compareLog, oldStatus);
}
if (index === 0) {
resolve(action(url, data, option));
} else {
reject(new Error("不允许相同操作间隔过小"));
}
},
);
});
}
return action(url, data, option);
}
return action(url, data, option);
}
return action(url, data, option);
};
攻击者可以绕过正常流程,模拟发起多次请求,所以仅仅在前端页面做好预防重复请求工作是不够的。后台接口需要设计得更健壮,具有幂等性。