POST表单重复提交需分层防护:服务端用一次性token+session校验并立即销毁,前端禁用按钮+请求完成才恢复,数据库加唯一约束兜底。
为什么 POST 表单会重复提交
用户点击“提交”按钮后刷新页面、点浏览器后退再前进、或网络延迟导致多次点击,都可能触发多次 POST 请求。后端若不做校验,就会执行多次业务逻辑(比如重复下单、重复扣款)。Golang 的 http.Handler 默认不感知请求是否重复,必须手动拦截。
用 Token + Session 控制提交唯一性
核心思路:每次渲染表单前生成一个一次性 token,存入 session(如内存或 Redis),同时写入表单隐藏域;提交时比对并立即销毁该 token。匹配失败即拒绝处理。
-
token建议用crypto/rand.Read生成 32 字节随机值,再 hex 编码 - Session 存储推荐用
gorilla/sessions,避免自己实现过期和并发安全问题 - 务必在
ParseForm()后立即验证token,且验证失败时直接返回http.StatusForbidden,不执行后续逻辑 - 不要把
token存在 URL 或 Cookie 明文里,防止被重放
func renderForm(w http.ResponseWriter, r *http.Request) {
session, _ := store.Get(r, "session-name")
token := make([]byte, 32)
rand.Read(token)
session.Values["form_token"] = hex.EncodeToString(token)
session.Save(r, w)
t := template.Must(template.New("form").Parse(``))
t.Execute(w, map[string]string{"Token": hex.EncodeToString(token)})
}
func handlePost(w http.ResponseWriter, r *http.Request) {
r.ParseForm()
session, _ := store.Get(r, "session-name")
savedToken := session.Values["form_token"]
formToken := r.FormValue("token")
if savedToken == nil || savedToken != formToken {
http.Error(w, "Invalid or expired token", http.StatusForbidden)
return
}
delete(session.Values, "form_token") // 立即清除
session.Save(r, w)
// ✅ 安全执行业务逻辑
processOrder(r.FormValue("name"))
}
前端配合:禁用按钮 + 防抖
服务端控制是底线,但前端体验和第一道防线同样重要。仅靠后端 token 无法阻止用户连续猛点——按钮仍可被多次触发,只是后续请求被拒绝。应主动抑制客户端行为。
- 提交后立即
button.disabled = true,并修改文字为“提交中…” - 用
fetch或axios发送请求,成功/失败后才恢复按钮状态 - 避免用
setTimeout模拟防抖,而应在网络请求完成回调里恢复 UI - 不要依赖
onsubmit="return false"单独拦截,它绕过表单验证且不可靠
更严格的场景:用数据库唯一约束兜底
Token + 前端控制能覆盖绝大多数情况,但极端情况下(如用户绕过 JS、并发极高、session 存储异常),仍可能漏掉重复。此时需在数据层加硬约束,让重复提交变成幂等操作或明确报错。
立即学习“go语言免费学习笔记(深入)”;
- 给关键业务表添加唯一索引,例如
UNIQUE (user_id, order_sn)或UNIQUE (request_id) - 插入前不查是否存在(避免竞态),而是直接
INSERT ... ON CONFLICT DO NOTHING(PostgreSQL)或INSERT IGNORE(MySQL) - 捕获数据库唯一约束错误(
pg.ErrCodeUniqueViolation或 MySQL errno 1062),转为友好提示 - 注意:不能依赖
SELECT + INSERT判断,这在并发下必然出错
真正难的不是写几行 token 逻辑,而是意识到:任何单一环节(前端、中间件、DB)都可能失效,必须分层设防。最容易被忽略的是——忘记在 token 验证失败后清空表单数据或重定向,导致用户刷新后又发一次旧请求。
