Laravel поймать исключение TokenMismatchException
Можно ли перехватить исключение TokenMismatchException с помощью блока try catch? Вместо отображения страницы отладки, на которой отображается "Исключение tokenmismatchexception в VerifyCsrfToken.php строка 46...", я хочу, чтобы он отображал фактическую страницу и просто выводил сообщение об ошибке.
У меня нет проблем с CSRF, я просто хочу, чтобы он по-прежнему отображал страницу вместо страницы отладки.
Для репликации (с помощью firefox): Шаги:
- Открыть страницу (http://example.com/login)
- Очистите файлы Cookie (Домен, Путь, Сеанс). Я использую плагин панели инструментов веб-разработчика здесь.
- Отправить форму.
Фактические результаты: Отображается страница "Упс, похоже, что-то пошло не так". Ожидаемые результаты: По-прежнему отображается страница входа, а затем передается ошибка "Несоответствие токенов" или что-то в этом роде.
Обратите внимание, что, когда я очистил файлы cookie, я не обновил страницу, чтобы токен сгенерировал новый ключ и заставил его ошибиться из.
ОБНОВЛЕНИЕ (ДОБАВЛЕНА ФОРМА):
<form class="form-horizontal" action="<?php echo route($formActionStoreUrl); ?>" method="post">
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>" />
<div class="form-group">
<label for="txtCode" class="col-sm-1 control-label">Code</label>
<div class="col-sm-11">
<input type="text" name="txtCode" id="txtCode" class="form-control" placeholder="Code" />
</div>
</div>
<div class="form-group">
<label for="txtDesc" class="col-sm-1 control-label">Description</label>
<div class="col-sm-11">
<input type="text" name="txtDesc" id="txtDesc" class="form-control" placeholder="Description" />
</div>
</div>
<div class="form-group">
<label for="cbxInactive" class="col-sm-1 control-label">Inactive</label>
<div class="col-sm-11">
<div class="checkbox">
<label>
<input type="checkbox" name="cbxInactive" id="cbxInactive" value="inactive" />
<span class="check"></span>
</label>
</div>
</div>
</div>
<div class="form-group">
<div class="col-sm-12">
<button type="submit" class="btn btn-primary pull-right"><i class="fa fa-save fa-lg"></i> Save</button>
</div>
</div>
</form>
Здесь нет ничего особенного. Просто обычная форма. Как я уже сказал, форма РАБОТАЕТ отлично. Именно тогда, когда я описал вышеуказанные шаги, он выдает ошибку из-за истечения срока действия ТОКЕНА. Мой вопрос в том, должна ли форма вести себя таким образом? Я имею в виду, когда я очищаю файлы cookie и сеанс, мне тоже нужно перезагрузить страницу? Так вот как здесь работает CSRF?
5 answers
Вы можете обработать исключение TokenMismatchException в App\Exceptions\Handler.php
<?php namespace App\Exceptions;
use Exception;
use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler;
use Illuminate\Session\TokenMismatchException;
class Handler extends ExceptionHandler {
/**
* A list of the exception types that should not be reported.
*
* @var array
*/
protected $dontReport = [
'Symfony\Component\HttpKernel\Exception\HttpException'
];
/**
* Report or log an exception.
*
* This is a great spot to send exceptions to Sentry, Bugsnag, etc.
*
* @param \Exception $e
* @return void
*/
public function report(Exception $e)
{
return parent::report($e);
}
/**
* Render an exception into an HTTP response.
*
* @param \Illuminate\Http\Request $request
* @param \Exception $e
* @return \Illuminate\Http\Response
*/
public function render($request, Exception $e)
{
if ($e instanceof TokenMismatchException){
// Redirect to a form. Here is an example of how I handle mine
return redirect($request->fullUrl())->with('csrf_error',"Oops! Seems you couldn't submit form for a long time. Please try again.");
}
return parent::render($request, $e);
}
}
Вместо того, чтобы пытаться поймать исключение, просто перенаправьте пользователя обратно на ту же страницу и заставьте его повторить действие снова.
Используйте этот код в App\Http\Middleware\VerifyCsrfToken.php
<?php
namespace App\Http\Middleware;
use Closure;
use Redirect;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* The URIs that should be excluded from CSRF verification.
*
* @var array
*/
protected $except = [
//
];
public function handle( $request, Closure $next )
{
if (
$this->isReading($request) ||
$this->runningUnitTests() ||
$this->shouldPassThrough($request) ||
$this->tokensMatch($request)
) {
return $this->addCookieToResponse($request, $next($request));
}
// redirect the user back to the last page and show error
return Redirect::back()->withError('Sorry, we could not verify your request. Please try again.');
}
}
Лучшее Решение Laravel 5
В App\Exceptions\Handler.php
Верните пользователя в форму с новым действительным токеном CSRF, чтобы он мог просто повторно отправить форму, не заполняя ее снова.
public function render($request, Exception $e)
{
if($e instanceof \Illuminate\Session\TokenMismatchException){
return redirect()
->back()
->withInput($request->except('_token'))
->withMessage('Your explanation message depending on how much you want to dumb it down, lol!');
}
return parent::render($request, $e);
}
Мне также очень нравится эта идея:
Ларавель 5.2: Изменить App\Exceptions\Handler.php вот так:
<?php
namespace App\Exceptions;
use Exception;
use Illuminate\Validation\ValidationException;
use Illuminate\Auth\Access\AuthorizationException;
use Illuminate\Database\Eloquent\ModelNotFoundException;
use Symfony\Component\HttpKernel\Exception\HttpException;
use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler;
use Illuminate\Session\TokenMismatchException;
class Handler extends ExceptionHandler
{
/**
* A list of the exception types that should not be reported.
*
* @var array
*/
protected $dontReport = [
AuthorizationException::class,
HttpException::class,
ModelNotFoundException::class,
ValidationException::class,
];
/**
* Report or log an exception.
*
* This is a great spot to send exceptions to Sentry, Bugsnag, etc.
*
* @param \Exception $e
* @return void
*/
public function report(Exception $e)
{
parent::report($e);
}
/**
* Render an exception into an HTTP response.
*
* @param \Illuminate\Http\Request $request
* @param \Exception $e
* @return \Illuminate\Http\Response
*/
public function render($request, Exception $e)
{
if ($e instanceof TokenMismatchException) {
abort(400); /* bad request */
}
return parent::render($request, $e);
}
}
В запросах AJAX вы можете ответить клиенту с помощью функции abort(), а затем очень легко обработать ответ на стороне клиента с помощью AJAX jqXHR.status, например, показав сообщение и обновив страницу. Не забудьте перехватить код состояния HTML в событии jQuery ajaxComplete:
$(document).ajaxComplete(function(event, xhr, settings) {
switch (xhr.status) {
case 400:
status_write('Bad Response!!!', 'error');
location.reload();
}
}
ЛОЛ
БОБ В запросах AJAX вы можете ответить клиенту с помощью функции abort(), а затем очень легко обработать ответ на стороне клиента с помощью AJAX jqXHR.status, например, показав сообщение и обновив страницу. Не забудьте перехватить код состояния HTML в событии jQuery ajaxComplete: