cakephp3でページリロードによる二重送信を防止したい。

環境
cakephp ver3.7.5
PHP 7.1.24

下記のページを参考にお問い合わせフォームを作成しております。

Cake3でお問い合わせフォームを作成する方法(DBを使わない)

https://qiita.com/kozo/items/00e66e8d0c3dbbfc907c

送信完了までのフローはできたのですが、完了後にページのリロードを行うと再度送信出来てしまうのが気持ち悪く何かcakephp3の機能をそのまま使い対策できないかと思っております。

参考:Cookbook クロスサイトリクエストフォージェリー (CSRF) ミドルウェア

https://book.cakephp.org/3.0/ja/controllers/middleware.html#csrf

フレームワーク自体にcsrfの機能があるので、それが有効になっていればリロードによる2重投稿を防げるものだと思っていたのですが間違った認識なのでしょうか?

php
1Router::scope('/', function (RouteBuilder $routes) {
2    // Register scoped middleware for in scopes.
3    $routes->registerMiddleware('csrf', new CsrfProtectionMiddleware([
4        'httpOnly' => true
5    ]));

デフォルトでroute.phpにもcsrfの記述があり、またFormheperを使用してフォームの記述を行っているので

htmlのソースの方には自動でhiddenのtokenが出力されている状態です。

html
1<input type="hidden" name="_csrfToken" autocomplete="off" value="文字列"/>

コントローラー

php
1<?php
2
3namespace App\Controller;
4
5use App\Form\ContactForm;
6
7class ContactsController extends AppController
8{
9    public function index()
10    {
11        $contact = new ContactForm();
12
13        if ($this->request->is('post')) {
14            if ($contact->execute($contact->execute($this->request->getData())) {
15                $this->Flash->success('メール送信しました');
16            } else {
17                $this->Flash->error('バリデーションに引っかかりました。');
18            }
19        }
20
21        $this->set('contact', $contact);
22    }
23}

お手数ですがアドバイスいただけると幸いです。

退会済みユーザー

2019/04/23 11:04

POST 正常終了時はリダイレクトは普通

PotetoMan

2019/04/23 13:03

そういうものなんですね。ありがとうございます。

行動規範の内容に同意します

回答1件

やってみたことはないのですが参考まで。
ex.)案１　コントローラー側で乱数を発行しセッションと一致するか

ContactsController.php
//※他の記述は省略
function index(){
    if(!empty($this->data)){
        // Tokenの比較
        if($this->Session->read('_csrfToken') == $this->data['dummy']['_csrfToken']){
            unset($this->data['dummy']['_csrfToken']);
            $this->Session->delete('_csrfToken');
            if ($contact->execute($contact->execute($this->request->getData())) {
                $this->Flash->success('メール送信しました');
            } else {
                $this->Flash->error('バリデーションに引っかかりました。');
            }
        }else{
            $this->flash('すでに送信済みです');
        }
    }
 
    $_csrfToken = $this->_rand(12); //ランダム文字列生成
    $this->Session->write('_csrfToken', $_csrfToken);
    $this->data['dummy']['_csrfToken'] = $_csrfToken;
}

index.ctp
<?php
    echo $form->create('Dummy', array('url' => array(
               'controller' => 'Contacts', 'action' => 'index')));
    echo $form->input('_csrfToken', array('type' => 'hidden'));
    echo $form->submit('送信');
    echo $form->end();
?>

でも、これだとリロードのとき出来てしまいそうなので。

ex.)　案2　セキュリティコンポーネントを使ってみては。
https://book.cakephp.org/3.0/ja/controllers/components/security.html

ContactsController.php
	/*提示された処理をそのまま使う　処理の記述を省略*/

/*以下処理を追加*/

	/**
	 * Components
	 *
	 * @var array
	 */
	public $components = array('Security');


	/**
	 * beforeFilter（callBack）
	 *
	 * @var array
	 */
	public function beforeFilter(){
		$this->Security->blackHoleCallback = 'blackhole';
		parent::beforeFilter();
	}

	/**
	 * blackhole
	 * - for SecurityComponent
	 */
	public function blackhole($type){
		switch($type){
			case 'csrf' :
				$this->flash('不正な送信が行われました');
				$this->redirect(array('controller' => 'contacts', 'action' => $this->action));
				break;
			default :
				$this->redirect(array('controller' => 'contacts', 'action' => 'index'));
				break;
		}
	}

blackHoleCallback は不正な送信を400エラーとして返してくれるとおもうので
ブラックホールにて遷移先を変更することでいけるんじゃないかと考えています。

動作チェックはしていません。
とりあえず、こんな方法でいけるのではというアプローチとして記述しました。

一番理想なのは、処理後別画面にリダイレクトさせるべきなんでしょうね。
そしたらリロードしようが自由になるでしょう。

投稿2019/05/04 05:03