|
7、重复提交问题
功能操作完成后,鼠标右键点击所在页面,选择弹出菜单的刷新功能,容易出现重复提交问题。
功能操作完成后,通过浏览器的后退键进行重复操作,容易出现重复提交问题。
URL没有重定向,刷新页面出现重复提交问题。
某功能键反应时间延迟时,在短时间内重复点击该功能键,容易出现重复提交问题;
某些用户习惯双击按钮,某些用户错误地点了两次按钮,某些鼠标出现故障,导致单击变成双击,结果发生重复提交。
如果不加处理,这些请求都会被服务器处理,从而导致错误的结果。
struts的token确实能解决问题,但用户老是向我抱怨,为什么我不
能用浏览器的回退按钮重新提交,我在其他网站上从没有这个问题,你如何解释?
然后你还会发现部分操作是能够允许重复提交的。
8.如何锁定资源如记录:这是一个老大难问题了,为此还搞了不少东西出来。
用 关键词 隔离级别 脏 锁定 去搜搜,就会发现,要解决这个问题是有方法的,但代价
你愿意承担吗?开发代价,性能代价,可用性代价
9,如何防止浏览器记住数据,某些浏览器能够为每一个URL记住用户输入的数据,在某些情况下是危险的。比如我修改了某些数据,但由于某些原因我想刷新,此时数据已经被其他用户修改,但在浏览器里面你看到的是你修改的数据(你用刷新按钮也不能看到新数据)。如果你再次保存,你认为你没有修改数据,但数据已经被修改了。当页面是脚本动态生成的时候,这个问题更严重。
常发生在firefox等浏览器上。
10,如何防止或侦测客户修改浏览器设置,比如客户在打开页面之后关闭脚本功能。
有时候甚至不是用户禁止脚本,而是么某些软件和插件,病毒甚至企业文化影响到用户设置。
11,回退问题,对于工作流熟悉的人对这个问题很清楚,某个操作节点如何回到启动点,如何回到上一节点,如何避免硬编码? 比如一个页面被两个操作流所共享,此时安全验证是个问题,回退也许要仔细考虑。
12,校验问题,如何同时实现客户端和服务器端校验,客户端调用服务器端的校验功能。
我已经在使用struts自带的apache commons validator,可是我不得不修改许多地方才能
用起来。比如我有些隐藏字段需要校验。但commons validator居然使用focus语句,导致出错。
这是小的bug,但更麻烦的是部分服务器端的校验没有办法在客户端实现。比如validwhen
又如,某些校验需要查询数据库,所以我想要的校验应该是能够被ajax 调用,这样
校验在客户端和服务器端完全一样,但这样客户端校验还有必要吗,我们原来用客户端校验
是看中他的校验响应快,不给服务器加负担。所以我又迷茫了。
13,如何防止数据伪造,如何防止客户使用特殊工具和技术伪造数据提交到服务器。
浏览器发送的数据都是遵循公开的标准,嗅探器等黑客工具可以随便地修改你的数据,
还有一些神奇的浏览器插件可以任意修改数据。就算ssl也只能保障中间传输,客户端无法控制。你还认为你的隐藏字段是安全的吗?你还认为你的select只有那几个选项吗?
14, 如何追踪定位错误,如何处理异常?
在一个运行的系统里,你如何知道哪个数据产生了这个错误?多个用户的日志绞缠在一起
如何组织?
15,如何在两个操作之间传递大量数据,尤其是非存储数据。
比如分页数据(按什么列排序的第几页,过滤条件)一般是不存储到数据库的,但在某些时候必须传递到下一个页面,session 也不是最终解决方案。
16, 带安全控制的断点续传的上载 和下载
甚至服务器端恐怕也要装点什么,这个可是许多企业的忌讳
17,分布式环境的特殊处理,
18,如何提高开发效率?
|
