NullPointerException
s - исключения, возникающие при попытке использовать ссылку, которая указывает на отсутствие местоположения в памяти (null), как если бы она ссылалась на объект. Вызов метода по нулевой ссылке или попытка получить доступ к полю нулевой ссылки вызовет функцию NullPointerException
. Они наиболее распространены, но другие способы перечислены на странице NullPointerException
javadoc.
Вероятно, самый быстрый пример кода, который я мог бы придумать для иллюстрации NullPointerException
, be:
public class Example {
public static void main(String[] args) {
Object obj = null;
obj.hashCode();
}
}
В первой строке внутри main
я явно устанавливаю ссылку Object
obj
равной null
. Это означает, что у меня есть ссылка, но она не указывает на какой-либо объект. После этого я пытаюсь обработать ссылку так, как если бы она указывала на объект, вызывая метод на нем. Это приводит к NullPointerException
, потому что нет кода для выполнения в местоположении, на которое указывает ссылка.
(Это техничность, но я думаю, что она упоминает: ссылка, которая указывает на null, равна 't то же, что и указатель C, указывающий на недопустимую ячейку памяти. Нулевой указатель буквально не указывает на в любом месте , который отличается от указаний на местоположение, которое оказывается недопустимым.)
Его твердое для реализации защищенного от дурака решения (поскольку они - alway улучшение идиотов). Независимо от того, что Вы делаете, стороной клиента можно управлять или работать неправильно.
Вашим решением должна быть сторона сервера, чтобы быть надежным и безопасным. Тем не менее один подход должен рассмотреть запрос и систему контроля / состояние базы данных или регистрируется, чтобы определить, было ли это уже обработано. Идеально, процесс на стороне сервера должен быть идемпотентом, если возможный , и это должно будет защитить от простофили, отправляет, не может ли это быть.
Вы могли предоставить "билет" как часть формы, некоторого случайного числа - и удостовериться, что это не становится принятым дважды на стороне сервера.
Два решения серверной стороны приходят на ум:
Реализуйте uniqueid, чтобы пойти с запросом и зарегистрировать его наряду с выполнением. Если идентификатор был уже зарегистрирован, Вы не делаете задания снова. Это отчасти похоже на решение для нейтрализации - необходимо попытаться отключить кнопку или сторону клиента ссылки, а также Вы предложили себя
мы используем чувствительное время, один билет времени. Это похоже на идентификатор сессии вида. Но это связывается с формой/страница.
Вы отбрасываете билет, когда пользователь отправляет страницу, и Вы только обрабатываете страницы, который идет с действительным билетом. Можно в то же время сжать безопасность путем присоединения билета к пользователю, поэтому плести кружево, если билет появляется в это, отправлен пользователем, который не является пользователем, которому был отправлен билет, Вы отклоняете запрос.
Struts встроили что-то вроде этого, если Вы, оказывается, используете его.
http://struts.apache.org/1.x/apidocs/org/apache/struts/util/TokenProcessor.html
Я использовал бы метку времени и сравнил бы значения с Вашим серверным кодом. Если две метки времени достаточно близки и имеют тот же IP-адрес, игнорируют второе представление формы.