一、頁面概述
login.jsp是一個很常見的登錄頁面,用於用戶登錄網站或應用的賬戶。一般情況下,login.jsp會包含兩個輸入框,分別是用戶名和密碼,同時還有一個提交按鈕或者鏈接,用於應用對用戶的登錄信息進行驗證,驗證通過則跳轉到其他頁面,否則提示用戶重新輸入。
二、頁面結構
login.jsp的核心部分就是表單,包含了一個form標籤,通過form標籤將輸入框、按鈕等元素組合成一個整體,提交到後台。具體代碼如下:
<form action="checkLogin.jsp" method="POST">
<label for="username">用戶名</label>
<input type="text" id="username" name="username">
<label for="password">密碼</label>
<input type="password" id="password" name="password">
<input type="submit" value="登錄">
</form>
上述代碼中,form標籤中的action屬性表示表單提交的地址,method屬性表示表單提交的方法,分別為POST和GET。label標籤和for屬性配合使用,可以使得點擊label標籤時,對應的輸入框獲得焦點。input標籤中的type屬性表示輸入框的類型,分別為text和password。submit按鈕表示提交按鈕,其value屬性表示按鈕上面的文本內容。
三、數據傳輸
login.jsp頁面中的表單提交方式為POST,那麼在提交表單的時候,用戶輸入的數據會被打包成一個http請求並發送給後台,後台程序接收到該請求,解析其中的數據並進行相關的處理。在login.jsp頁面中,我們向後台傳遞了兩個參數,一個是username,一個是password,那麼在後台程序中需要通過request對象對這兩個變數進行獲取,代碼如下所示:
String userName = request.getParameter("username");
String password = request.getParameter("password");
上述代碼中,getParameter()方法用於獲取表單提交中對應的參數,然後將其賦值給變數userName和password,這兩個變數就是用戶在頁面上輸入的用戶名和密碼。
四、表單驗證
在用戶提交表單之前,我們可以通過JavaScript代碼對錶單進行一定的驗證,例如檢查用戶名是否為空或格式是否正確,是否輸入了正確的密碼等。驗證方式有很多,可以使用正則表達式,也可以使用一些現成的表單驗證庫,比如jQuery Validation Plugin、Bootstrap Validator等。下面是一個簡單的表單驗證函數:
function validateForm(){
var username = document.getElementById("username").value;
var password = document.getElementById("password").value;
if(username === ""){
alert("請輸入用戶名!");
return false;
}
if(password === ""){
alert("請輸入密碼!");
return false;
}
return true;
}
上述代碼中,我們通過getElementById()方法獲取頁面上對應的輸入框元素,然後使用value屬性獲取到用戶輸入的值。接著通過if語句進行判斷,如果用戶名或密碼為空,則使用alert彈框提示用戶,最後通過return語句返回true或false,通知表單是否可以提交。
五、CSRF攻擊
通過login.jsp頁面進行的表單提交可能存在CSRF攻擊的風險,CSRF攻擊(Cross-site request forgery)指的是攻擊者盜用了你的身份,以你的名義發送惡意請求。此時,網站判斷不出是否為本人操作而給予批准,造成了無法預計的損失。
為了避免此類攻擊,可以使用一些防禦機制,比如添加驗證碼、確認用戶身份等。下面是一個簡單的CSRF防禦機制:
<input type="hidden" name="token" value="xxxx">
在表單中添加一個隨機生成的token(令牌),在用戶提交表單時,後台程序需要檢查token是不是客戶端頁面上返回的有效token,這樣一來,攻擊者就無法偽造有效的請求參數,從而有效地避免了CSRF攻擊。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/243018.html
微信掃一掃 
支付寶掃一掃 