質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

Q&A

解決済

3回答

1369閲覧

Laravel5.5 POST時にsession_idが切り替わってしまう

hashed_pole_mec

総合スコア0

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Laravel 5

Laravel 5は、PHPフレームワークLaravelの最新バージョンで、2014年11月に発表予定です。ディレクトリ構造がが現行版より大幅に変更されるほか、メソッドインジェクションやFormRequestの利用が可能になります。

0グッド

1クリップ

投稿2020/10/19 10:55

編集2020/10/20 07:07

前提・実現したいこと

Laravel5.5でログインユーザーが使用するサイトを作っています。
フォームをPOST送信時にTokenMismatchExceptionが発生しました。
csrf_field() は記述していて、試しにCSRF認証を外してみたところ
POST後にsession_id( Session::getId() )が切り替わっていることがわかりました。

session_idが切り替わってしまうため、フォーム送信前にセットした値が取得できません。

9割のユーザーで正常に(TokenMismatchException、session_id変更も起こらず)サイト利用できています。
1割のユーザーでsession_id変更が起こります。
同様に1割のユーザーで画面遷移時にログイン状態が外れる現象も起こっていました。
今回その同じユーザーで、session_id変更のためGET通信しかできないような状態です。

ログイン状態が外れる現象については、
以下のように、loginUsingIdの第2引数rememberをtrueにすることで、解決していました。

PHP

1class SampleController extends Controller 2{ 3 public funcion login() { 4 // some code ... 5 //$auth->loginUsingId($userId); 6 $auth->loginUsingId($userId, $remember = true); 7 } 8}

csrf_field()記述部分です。

HTML

1<form action="/sample/confirm" method="POST"> 2 {{ csrf_field() }} 3 ... 4</form>

問題切り分けのためVerifyCsrfToken.php にて、CSRF認証対象から外しました。

PHP

1<?php 2 3namespace App\Http\Middleware; 4 5use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; 6 7class VerifyCsrfToken extends Middleware 8{ 9 /** 10 * CSRFバリデーションから除外するURI 11 * 12 * @var array 13 */ 14 protected $except = [ 15 'sample/confirm', 16 ]; 17}

試したこと

Controllerからさかのぼって調べていくと、
Authクラスの作成時点で、送信前と異なるsession_idになっていました。

PHP

1<?php 2 3namespace App\Http\Middleware; 4 5use Illuminate\Support\Facades\Auth; 6 7class SampleAuth 8{ 9 public function __construct() 10 { 11 $this->auth = Auth::guard(); 12 \Log::info( Session::getId() ); 13 } 14 public function handle($request, $next) 15 { 16 // some code ... 17 return $next($request); 18 } 19 20}

何か考えられることなどありますでしょうか?
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2020/10/19 10:58

>csrf_field() は記述していて、 実際のコードを提示してください。
guest

回答3

0

(二重送信なので消しておきます)

投稿2020/10/21 11:19

編集2020/11/05 10:47
hashed_pole_mec

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

自己解決

セッションに大きなデータを保存する処理があり、
セッションがリセットされていたような感じです。
そちらをコメントアウトするとTokenMismatchも解消されました。
Laravelログイン処理内の不具合等ではありませんでした。

ユーザーテーブルにJSON文字列を格納したカラムがあったので、
そこを空にすると正常動作するようになりました。
解決方法としてはデータの持ち方を変更します。

JSONの要素数が多くなった場合に、
ユーザー認証処理が続行不可能になったとかいった状況のようです。

投稿2020/10/21 11:11

編集2020/11/05 10:44
hashed_pole_mec

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

Laravel5ではなく5.0から5.8までマイナーバージョンも必要。
5.xの頃は0.1がメジャーバージョン。

5.xのどれかの時期、正しいつもりでもTokenMismatchExceptionは自分でも発生していたので特定のバージョン限定のバグの可能性もある。
その後直ってる。

どっちにしろ5.xはすべてサポート終了してるので追っても無駄。
6以上を使ったほうがいいという回答しかない。
正しく使ってるならバージョンアップするだけで直る。

投稿2020/10/19 11:19

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

hashed_pole_mec

2020/10/20 06:57

Laravel5.5です。タイトルを修正しました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問