4、表单提交和验证

1、启用/禁用表单module

sbt启动应用时默认就启用了表单，也可以在build.sbt中添加启用libraryDependencies += javaForms，想要移除表单时使用PlayMinimalJava 插件

2、play接收表单数据

play.data中的类可用于处理HTTP表单数据提交和验证，操作提交的表单可以使用play.data.Form类如果想将获取到的表单数据直接封装到对应的实体，则实体字段需要和表单字段对应，并且需要实现get、set方法；也可以不实现get、set方法，直接在conf/application.conf文件中进行配置play.forms.binding.directFieldAccess = true 即可，在这种情况下，如果在form绑定期间无法访问字段play将尝试通过内部调用field.setaccessible（true）反射访问字段，容易造成错误。也可以通过调用方法对指定的类型进行直接绑定。

具体说一下代码实现，需要先注入play.data.FormFactory到操作表单的对应控制器中，之后可以调用方法form来进行绑定，例如

：

这里的User类中需要声明对应的get、set方法，下边介绍一个方法，使得绑定的实体不需要声明get、set方法，如下：

Play的这种绑定机制其底层依赖的是spring data

接下来就是从form中获取值，可以使用bind、get方法获取对应的值，最后说一下，可以通过formFactory.form().bindFromRequest()的方式获取到一个动态表单对象DynamicForm，可以通过DynamicForm中的data方法，直接将表单数据封装到Map集合中。

可以绑定默认值，操作如下：

可以获取到一个动态表单，直接获取字段：

3、表单数据校验

Play内置的验证方式使用的是hibernate的验证方式，可以使用JSR-380注解对将进行绑定的数据进行约束，使用如下：

绑定失败时的处理：

还有一些高级的校验，无非就是用注解，自我感觉没什么意思，在这里不做说明，如有需要，可查看官方文档

4、注册自定义数据绑定器

当表单中的数据映射到对象时，想要格式化数据的格式，这个时候就可以使用自定义数据绑定器来实现，实现数据绑定器需要三步：

1、编写一个数据格式化的类，这个类实现Provider<Formatters>接口

2、绑定这个用于格式化数据的类

3、启用这个组件，注销默认组件

5、模板中使用Form

Play提供了帮助器用来实现在HTML模板中呈现表单。接下来详细介绍：

生成标签时使用 @helper开头，设置值时使用@ 开头，直接使用即可，上边这种一般开发不会这么用，太费劲

6、防止跨站点请求（CSRF）伪造

跨站点请求伪造（CSRF）是一种安全漏洞，攻击者利用该漏洞诱使受害者的浏览器使用受害者的会话发出请求。由于会话令牌随每个请求一起发送，如果攻击者可以强制受害者的浏览器代表他们发出请求，则攻击者可以代表用户发出请求。

当满足请求方法不是get、head或options、请求有一个或多个cookie或授权头、CORS过滤器没有配置为信任请求的来源这三个条件是，play框架会对请求做CSRF校验。

Play支持多种方法来验证请求是否不是CSRF请求。主要机制是CSRF令牌。这个令牌被放置在提交的每个表单的查询字符串或主体中，也被放置在用户会话中。然后play验证两个令牌是否存在并匹配。对于非浏览器请求，play仅对带有cookie的请求检查。如果使用Ajax进行请求，可以将CSRF令牌放在HTML页面中，然后使用CSRF令牌头将其添加到请求中。也可以设置play.filters.csrf.header.bypassHeaders 以匹配公共头，如果请求头带有x-requested-with，则play将认为请求是安全的。x-requested-with被许多流行的javascript库添加到请求中。如果存在值为nocheck的csrf令牌头，或者具有有效的csrf令牌，则play将认为请求是安全的。如下：