質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.59%

laravelでformデータの多重送信対策をしたい

受付中

回答 2

投稿 編集

  • 評価
  • クリップ 3
  • VIEW 9,866

score 15

前提

Laravel5.7を使用して学習のため自作でログイン機能などを作成しております。
ですのでmake:authは使っていません。

パスワードを忘れてしまったユーザーに対して登録したメールアドレスを入力してもらう事で
パスワード再設定のご案内メールを送るページでの質問です。

実現したいこと

送信ボタンの連打、またはブラウザバックによるメールの多重送信を防ぎたい。

発生している問題

$request->session()->regenerateToken();


上記を使えば重複したリクエストが発生した場合、
リクエスト中のトークン($request->_token)と
セッションに保存されているトークン($request->session()->token())が
一致しなくなりエラーが返され多重で送信されないという事まで調べてわかりました。
(違っていたらご指摘お願い致します)

しかし私のコードでは連打すると1通目と2通目のセッション、トークン共に全て値が同じで
ブラウザバックすると1通目と2通目の値は違うもののセッションとトークンは一致しており多重送信されてしまいます。

何が間違っているのかわからない為ご教授頂けたらと思います。

補足

今回はセッションとトークンの値を簡単に確認するために
メールの件名にセッション、内容にトークンを入れています。

該当のソースコード

@extends('layouts.default')


@section('content')
<div class="container mt-5">
    <div class="row justify-content-center">
        <div class="col-md-8">
            <div class="card">
                <div class="card-header">{{'パスワードの再設定申請'}}</div>
        <div class="card-body">
                    <p>登録されているメールアドレスを入力し、送信ボタンを押して下さい。</p>
                    <form method="POST" action="{{ url('/auth/password/forgot') }}">
                        @csrf
                        <div class="form-group row">
                            <label for="email" class="col-md-4 col-form-label text-md-right">{{'メール'}}</label>
                            <div class="col-md-6">
                                <input id="email" type="email" class="form-control{{ $errors->has('email') ? ' is-invalid' : '' }}" name="email" value="{{ old('email') }}" required maxlength="100" autofocus>
                                @if ($errors->has('email'))
                                    <span class="invalid-feedback" role="alert">
                                        <strong>{{ $errors->first('email') }}</strong>
                                    </span>
                                @endif
                                @if (isset($message))
                                    <span class="invalid-feedback" role="alert">
                                        <strong>{{ $message }}</strong>
                                    </span>
                                @endif
                            </div>
                        </div>
                        <div class="form-group row mb-0">
                            <div class="col-md-8 offset-md-4">
                                <button type="submit" class="btn btn-primary">
                                    {{'送信'}}
                                </button>
                            </div>
                        </div>
                    </form>
                </div>
            </div>
        </div>
    </div>
</div>
@endsection
public function sendForgetMail(Request $request)
    {
        $request->validate([
            'email' => 'required|string|email|max:100|exists:users,email',
        ]);
            $user = UsersTable::getUserData($request->email);
            // トークン作成
            $token = Common::createToken($request->email);
            // URLの作成
            $url = Common::fetchUrlForMail('auth/password/reset', $token);
            // パスワードリセットテーブルに保存
            TokensTable::insertPassToken($user->id, $token);

            // メール送信
            $mailer = new Mailer();
            //$mailer->sendMail($url, $request->email, 'パスワード再設定のご案内', 'emails.templates.password_reset_mail');
            $mailer->sendMail($request->_token, $request->email, $request->session()->token(), 'emails.templates.password_reset_mail');
            // 二重送信対策
            $request->session()->regenerateToken();

            // 送信完了メッセージ
            return view('auth.password.request_result');
    }
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • m.ts10806

    2019/02/23 17:46

    fromではなくformでは?
    細かいですが名前が決まっているもののスペルミスは致命的になり得ます。正確に記載願います

    キャンセル

  • seibi02

    2019/02/23 18:24

    タイトル修正しました。

    キャンセル

回答 2

+2

直接の問題解決にはなりませんが、発生している問題に書いてある

しかし私のコードでは連打すると1通目と2通目のセッション、トークン共に全て値が同じで
ブラウザバックすると1通目と2通目の値は違うもののセッションとトークンは一致しており多重送信されてしまいます。

の部分について、同様のことを調べていましたので説明させていただきますね。

LaravelではSessionに保存されている値はリクエストの最初の方でStore(FileやMemcached)などから読み込まれ、その後Arrayとして保持されて、レスポンスを返す直前でStoreに書き込まれます。

つまり連打した場合にはリクエスト後にregenerateTokenは実行されますが、その後のStoreへの書き込みが終わっていない状態でさらにリクエストが始まるという動きになり、Storeに書き込ま得れるまえのtokenが読み出されるので一致してしまいます。

これはStartSessionというMiddlewareに実装が書かれていて、レスポンスを作成したあとにreturnする直前にsaveSessionしていることがわかります。

https://github.com/laravel/framework/blob/6.x/src/Illuminate/Session/Middleware/StartSession.php#L65

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/10/29 05:13

    返信遅れてすみません 回答ありがとうございます。
    つまり今のやり方ではlaravelの仕様上多重送信を防ぐことは不可能なんですね。。。

    キャンセル

0

キータにこんな記事がありました。

引用
送信ボタンダブルクリックでの二重送信防止
こんな感じのJavaScriptを仕込んでおくといいと思う。

Laravel 5で確認画面付き問い合わせフォームを作る - Qiita

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2019/02/23 16:56

    回答ありがとうございます。
    $request->session()->regenerateToken();による処理がどうしても出来ない場合は
    jsにて対策しようと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.59%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る