Laravel TokenMismatchExceptionをキャッチ

Question

Try catchブロックを使用してTokenMismatchExceptionをキャッチできますか？「VerifyCsrfToken.php行46 ...のTokenMismatchException」を示すデバッグページを表示する代わりに、実際のページを表示し、エラーメッセージを表示するだけです。

CSRFに問題はありません。デバッグページの代わりにページを表示したいだけです。

（firefoxを使用して）複製するには：手順：

ページを開く（ http://example.com/login ）
Cookie（ドメイン、パス、セッション）をクリアします。ここでは、Web開発者ツールバープラグインを使用しています。
フォームを送信します。

実際の結果：「フープ、何かがおかしかったようです」ページが表示されます。期待される結果：ログインページを表示したまま、「トークンの不一致」などのエラーを渡します。

Cookieをクリアしたときに、トークンが新しいキーを生成して強制的にエラーにするためにページを更新しなかったことに注意してください。

更新（追加フォーム）：

 <form class="form-horizontal" action="<?php echo route($formActionStoreUrl); ?>" method="post"> <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>" /> <div class="form-group"> <label for="txtCode" class="col-sm-1 control-label">Code</label> <div class="col-sm-11"> <input type="text" name="txtCode" id="txtCode" class="form-control" placeholder="Code" /> </div> </div> <div class="form-group"> <label for="txtDesc" class="col-sm-1 control-label">Description</label> <div class="col-sm-11"> <input type="text" name="txtDesc" id="txtDesc" class="form-control" placeholder="Description" /> </div> </div> <div class="form-group"> <label for="cbxInactive" class="col-sm-1 control-label">Inactive</label> <div class="col-sm-11"> <div class="checkbox"> <label> <input type="checkbox" name="cbxInactive" id="cbxInactive" value="inactive" />&nbsp; <span class="check"></span> </label> </div> </div> </div> <div class="form-group"> <div class="col-sm-12"> <button type="submit" class="btn btn-primary pull-right"><i class="fa fa-save fa-lg"></i> Save</button> </div> </div> </form>

ここで本当に素晴らしいものは何もありません。ただの普通の形。私が言ったように、フォームは完璧に機能しています。上記の手順を述べたばかりで、トークンの有効期限が切れたためエラーになります。私の質問は、フォームはそのように振る舞うべきですか？つまり、Cookieとセッションをクリアするときは、ページもリロードする必要がありますか？ CSRFはここでどのように機能しますか？

Emeka Mbah · Accepted Answer

App\Exceptions\Handler.phpでTokenMismatchException例外を処理できます

<?php namespace App\Exceptions; use Exception; use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler; use Illuminate\Session\TokenMismatchException; class Handler extends ExceptionHandler { /** * A list of the exception types that should not be reported. * * @var array */ protected $dontReport = [ 'Symfony\Component\HttpKernel\Exception\HttpException' ]; /** * Report or log an exception. * * This is a great spot to send exceptions to Sentry, Bugsnag, etc. * * @param \Exception $e * @return void */ public function report(Exception $e) { return parent::report($e); } /** * Render an exception into an HTTP response. * * @param \Illuminate\Http\Request $request * @param \Exception $e * @return \Illuminate\Http\Response */ public function render($request, Exception $e) { if ($e instanceof TokenMismatchException){ // Redirect to a form. Here is an example of how I handle mine return redirect($request->fullUrl())->with('csrf_error',"Oops! Seems you couldn't submit form for a long time. Please try again."); } return parent::render($request, $e); } }

Neo · Answer

より良いLaravel 5ソリューション

inApp\Exceptions\Handler.php
新しい有効なCSRFトークンを使用してユーザーをフォームに戻すと、ユーザーはフォームに再度入力せずにフォームを再送信できます。

public function render($request, Exception $e) { if($e instanceof \Illuminate\Session\TokenMismatchException){ return redirect() ->back() ->withInput($request->except('_token')) ->withMessage('Your explanation message depending on how much you want to dumb it down, lol!'); } return parent::render($request, $e); }

私もこのアイデアが好きです：

https://github.com/GeneaLabs/laravel-caffeine

Lee · Answer

例外をキャッチしようとする代わりに、ユーザーを同じページにリダイレクトして、ユーザーに再度アクションを繰り返させます。

App\Http\Middleware\VerifyCsrfToken.phpでこのコードを使用します

<?php namespace App\Http\Middleware; use Closure; use Redirect; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ // ]; public function handle( $request, Closure $next ) { if ( $this->isReading($request) || $this->runningUnitTests() || $this->shouldPassThrough($request) || $this->tokensMatch($request) ) { return $this->addCookieToResponse($request, $next($request)); } // redirect the user back to the last page and show error return Redirect::back()->withError('Sorry, we could not verify your request. Please try again.'); } }

MDR · Answer

Laravel 5.2：変更App\Exceptions\Handler.phpこのように：

<?php namespace App\Exceptions; use Exception; use Illuminate\Validation\ValidationException; use Illuminate\Auth\Access\AuthorizationException; use Illuminate\Database\Eloquent\ModelNotFoundException; use Symfony\Component\HttpKernel\Exception\HttpException; use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler; use Illuminate\Session\TokenMismatchException; class Handler extends ExceptionHandler { /** * A list of the exception types that should not be reported. * * @var array */ protected $dontReport = [ AuthorizationException::class, HttpException::class, ModelNotFoundException::class, ValidationException::class, ]; /** * Report or log an exception. * * This is a great spot to send exceptions to Sentry, Bugsnag, etc. * * @param \Exception $e * @return void */ public function report(Exception $e) { parent::report($e); } /** * Render an exception into an HTTP response. * * @param \Illuminate\Http\Request $request * @param \Exception $e * @return \Illuminate\Http\Response */ public function render($request, Exception $e) { if ($e instanceof TokenMismatchException) { abort(400); /* bad request */ } return parent::render($request, $e); } }

AJAXリクエストでは、abort（）関数を使用してクライアントに応答し、次にAJAX jqXHR.statusを使用して非常に簡単にクライアント側で応答を処理できます。メッセージを表示してページを更新しますjQuery ajaxCompleteイベントでHTMLステータスコードをキャッチすることを忘れないでください：

$(document).ajaxComplete(function(event, xhr, settings) { switch (xhr.status) { case 400: status_write('Bad Response!!!', 'error'); location.reload(); } }