質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

Q&A

解決済

1回答

5426閲覧

Laravel メール送信が絡むと多重送信可能になる

kriht

総合スコア26

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

0グッド

1クリップ

投稿2019/03/08 16:46

Laravel 5.7 でお問合せフォームを作成しました。

「入力画面→完了画面」 方式です。

多重送信防止ですが、処理にメール送信があると効きません。

PHP

1$request->session()->regenerateToken();

POSTされた際のアクション

PHP

1public function send(Request $request) 2{ 3 $data = $request->only('name', 'email', 'message'); 4 //DBに保存 5 Contact::create($data); 6 //メール送信 7 Mail::to($to)->send(new ContactMail($data)); //この行がなければ多重送信防げる 8 // 多重送信対策 9 $request->session()->regenerateToken(); 10 return redirect()->action('ContactController@thanks'); 11}

ルーティング

PHP

1Route::get('/contact', 'ContactController@form'); //入力画面表示 2Route::post('/contact', 'ContactController@send'); //送信処理 3Route::get('/thanks', 'ContactController@thanks'); //完了画面表示

formメソッドとthanksメソッドは画面を表示するだけです。

PHP

1public function form() 2{ 3 return view('form'); 4} 5 6public function thanks() 7{ 8 return view('thanks'); 9}

メール送信処理があると、なぜ多重送信されてしまうのでしょうか。

また、完了画面に直接リンクできる状態ですが、不自然でしょうか。
この場合、sendメソッドから完了画面にリダイレクトするときにセッションを付与して、thanksメソッドで確認する等の処理が最適ですか。

回答よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

regenerateToken()の効果が出るのが間に合っていないからではないでしょうか。

セッションがあるリクエストの処理は大雑把に言うと以下のようになります。

  • リクエストの処理をはじめるときにクライアントから送られてきたセッションIDをもとにセッション情報をよみだす
  • リクエストの処理の本体。この例でいうとsend
  • 最後にセッション情報を書き出します。

この一連の処理をロックして行う流儀とロックはしない流儀があります。ロックする方だとこのような問題は起きないのですがLaravelのセッションはロックしない方です。(その分ロックする方は同じセッションのリクエストは一度に一つしか処理できないので効率が悪いという弱点があるので一長一短ではあります)

メール送信はそこそこ時間のかかる処理なので、送信連打があると一つ目のregenerateToken()で更新された新しいトークンを持ったセッション情報を書き出す前に別のリクエストが動きはじめることがあって、そのときトークンが古いままで処理されるのでCSRFトークン不一致になることなく処理が継続できてしまいます。

メール送信を入れる前は起きなかったとありますが、おそらく同じく問題になるタイミングは短いながらもあるのですが、人間が連打したぐらいではなかなか起きないということではないかと思います。

対策ですがブラウザ側でjavascriptなどで対策する方法とサーバ側で対策する方法が考えられます。

サーバ側でやる場合は、使用済みトークンかどうか判定するのがいいのではないでしょうか。csrfトークンが使用済みであることを記録し、入り口でチェックします。

例:

Cache::addはキーが登録済みならfalseを返すのでこういう用途には便利です。regenerateTokenで新たに作られたトークンを含んだセッション情報が保存されるまで持てばいいので保持期間は1分もあれば十分でしょう。

php

1 if (!Cache::add('used_token.'.$request->session()->token(), 1, 1)) { 2 # 使用済みだったときの処理 3 # 例: TokenMismatchExceptionを投げる(CSRFトークン不一致の扱いにする) 4 # 独自のエラー表示にする など 5 }

またメール送信は遅いので別プロセスで後で処理するようにするというのもよく行われます。Laravelだとキューの仕組みがありますから、リクエストの処理ではキューに積むだけで送信は後でやるというようなことも比較的簡単に実現できます。

投稿2019/03/09 04:25

crhg

総合スコア1175

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kriht

2019/03/10 11:22

ありがとうございます! 以下のようにsendメソッドの入口に、ご提示いただいたコードを記述したら多重送信防止できました。 public function send(Request $request) { if (!Cache::add('used_token.'.$request->session()->token(), 1, 1)) { return abort(403);} //メール送信処理など }
kriht

2019/03/10 11:27

完了画面のURLへ直接リンクできてしまうことに関しては、 sendメソッドの最後で以下のようにセッションを付与して return redirect()->action('ContactController@thanks')->with('status', true); thanksメソッドでは以下のように、セッションがあれば完了画面を表示 if(session('status')){ return view('thanks'); } return redirect('/'); このやり方が良いでしょうか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問