如何区分从 HTML 表单提交的 HTTP 请求和从客户端提交的 HTTP 请求？

Posted 2023-02-25

【中文标题】如何区分从 HTML 表单提交的 HTTP 请求和从客户端提交的 HTTP 请求？

【英文标题】：How to differentiate a HTTP Request submitted from a HTML form and a HTTP Request submitted from a client?

【发布时间】：2010-09-12 23:58:04

【问题描述】：

有什么方法（在 Java Servlet 中）可以确定 HTTP POST 或 GET 请求是来自 html 表单提交还是其他结果？

【问题讨论】：

我想更多的上下文会给你更好的答案，你为什么要这样做？

【参考方案1】：

您可以使用隐藏的表单域 + cookie 来实现。

您可以设置一个nonce，并将其作为表单的隐藏字段。然后，您将其应用于与表单一起发送的 cookie。 cookie 应该链接到隐藏字段，并且还应该包含某种随机数。最后，当表单提交时，你可以检查cookie和隐藏字段，看看它们是否正确。如果需要，将其链接到表单原始请求的 IP 地址和用户代理。你甚至可以用一些 javascript 来增加这一切。首先将隐藏字段设为空白，然后通过一些 ajax 向服务器请求隐藏字段随机数。

这并不完美，但应该可以让你完成 80%-90% 的工作。不过，具有良好 HTTP 技能的人仍然可以欺骗它。

然而，它提出了一个问题，为什么要在该级别区分请求？

或者你真的只是想弄清楚用户是否点击了“提交”按钮？ （如果是这种情况，那么提交按钮的名称/值对应该在请求实体/查询字符串中......取决于表单方法。）

【参考方案2】：

我认为这是不可能的，除非客户端本身是合作的（意味着客户端设置了一些标头）

【参考方案3】：

不是真的。您可以检查用户代理字符串，但可以由调用者设置。

【参考方案4】：

好吧，您可以查看代理字符串，看看它是来自浏览器还是来自您的客户端应用程序（假设它有自己的代理字符串）

【参考方案5】：

如果您可以控制客户端，则可以附加自定义标头来识别发件人。

一些 javascript 库在发出 XmlHTTPRequests 时已经这样做了，因此您可以处理不同于标准请求的 Ajax 调用。

检查每个传入请求的标头，看看是否有什么可以使用的。

【参考方案6】：

使用一些 JavaScript 来设置一些值。

【参考方案7】：

您不清楚是要区分合法的不同访问方法，还是要针对伪造的攻击（即试图看起来像普通用户的机器人或黑客）。

在第一种情况下，keprao 有一些检查标题的好建议。在第二种情况下，基本上无法区分请求，尽管机器人可能会受到验证码或身份验证的阻碍。