java 令牌解析,小博老师解析Java核心技术点 ——表单令牌（一）

[理论知识]

我们在网站开发的过程中，经常需要会使用到form表单，表单提供了丰富的客户端与服务器端交互的控件。但是在开发过程中，我们需要注意表单的各方面安全性问题，比如防止客户绕开表单向服务器发送请求(这是一个很危险的现象)。

在我们学习过的技术中，有很多技术都是为了确保表单的安全性，比如验证码技术(虽然它是一个对于普通用户很不友好的东西)。

在本系列文章中，小博老师就为大家讲解表单安全性的另一个技术——表单令牌(Token)。

[步骤解读一]无令牌表单

相信大家对于普通form表单与服务器的交互已经非常熟悉了，小博老师这里就不浪费篇幅多做介绍了，我们新建一个jsp文件提供用户填写信息的表单，核心代码如下：

账户名称：

账户密码：

然后我们再创建一个Servlet来接受表单提交的数据，核心代码如下：

@WebServlet("/BWFToken")

public class BWFTokenServlet extends HttpServlet {

protected void doPost(HttpServletRequest request, HttpServletResponse response)

throws ServletException, IOException {

PrintWriter out = response.getWriter();

String username = request.getParameter("username");

String userpass = request.getParameter("userpass");

out.println("username="+username+",userpass="+userpass);

}

}

这样，我们通过浏览器访问jsp页面，效果如下：

填写账户名称和账户密码，提交给Servlet后，效果如下：

[步骤解读二]用户绕开表单

以上是一个最普通的表单和服务器交互的案例，这样的表单是存在一定风险的，用户完全可以绕开表单直接向服务器发送请求。

首先我们访问jsp页面，然后在浏览器中右键、查看源代码，结果如下：

从源代码中用户可以得到几个关键信息。action="BWFToken"，这个属性结合上当前jsp页面的url，用户可以得知服务器接收表单提交数据的url为“http://127.0.0.1:8090/BWF-JavaEE/BWFToken”。method="POST"，从这个属性用户可以得知表单提交的方式为POST请求。和，这两个表单控件的源代码告诉了用户，该表单向服务器提交了两个参数信息，其key分别为username和userpass。

结合以上信息，用户可以轻松自己编写一个任意形式的小程序，绕开表单直接向服务器的Servlet发送请求。这种小程序可以是一个Applet，也可以是一个html页面，甚至是一个Ajax等等。

比如，小博老师为大家演示一下使用Ajax技术绕开表单直接向服务器的Servlet发送请求，核心代码如下：

$(document).ready(function(){

var username = "attacter";

var userpass = "crack";

$.post(

"http://127.0.0.1:8090/BWF-JavaEE/BWFToken",

"username="+username+"&userpass="+userpass,

function(data){

alert(data);

}

);

});

我们使用浏览器访问该页面，效果如下：