Привет! Подскажите нубу как посмотреть на ошибки валидации, когда делаем запрос по api? У меня при ошибке валидации рендерится главная страница Как ошибки валидации вывести в ответе json?

У себя делал мидлварю, устанавливающую хедер, и привязал её к api. После этого все ответы с апи возвращаются только в json формате.

У себя делал мидлварю, устанавливающую хедер, и привязал её к api. После этого все ответы с апи возвращаются только в json формате.

Спс, попробую сделать так

Всем привет. Никак не могу понять, как заставить работать csrf токен для защиты от повторных пост-запросов. Кто-нибудь делал?

Эээ

Но ведь он работает из коробки

от защиты от повторных post-запросов? не работает

Каких ещё повторных

F5

Цсрф токен на все запросы действует

он один и тот же генерится на всю сессию

И?)

ну и

жмешь F5 - и запрос никак не фильтруется, что он уже был отправлен

сначала submit -> отправляешь форму. потом F5 и запрос с POST той же формы отправляется ещё раз

А если б токен каждый раз разный был - он бы по идее проверял бы, что запрос уже не действителен

но токен один и тот же

Всмысле не фильтруется)

Он фильтруется так же повторно

он по идее после проверки токена должен его новый генерить и помещать в сессию. Чтобы следующий запрос использовал новый. А если используется тот же, а в сессии его нет - он его б фильтровал.

нет

не фильтруется, в том и дело

У тебя просто два идентичных запроса

да, и нафиг они мне? )

Цсрф токен отправляется вместе с формой

да, именно

да, и нафиг они мне? )

Эммм

но вместе с генерацией формы - он должен давать новый токен, который помещать в сессию

Спроси у создателей браузеров?

ну так причем тут браузеры то?

епрст

но вместе с генерацией формы - он должен давать новый токен, который помещать в сессию

Ничего они не должны

вопрос был в чем? )

ну так причем тут браузеры то?

Ты говоришь про браузерную хню

которую по идее пофиксили с VerifyCsrfToken мидлом

У тебя один и тот же юзер повторяет отправку формы

как мне казалось

нет

отправка формы - это отправка формы

Зачем ему заново генерить токен

Бля

а повтор запроса - это не из формы - просто тоже самое

ты почитай вопрос внимательно, поймешь)

А ты УВЕРЕН?

более чем

Соболезную

нашел решение - переопределить addCookieToResponse

но почему-то сначала отрабатывает генерация токена в хелпере, а потом уже миддл доходит до данного метода

а повтор запроса - это не из формы - просто тоже самое

Отправка формы это и есть запрос офк

мне то чего соболезновать? не можешь помочь, хочется пообщаться - так и скажи

блин

Это одно и тоже действие

ты явно не догоняешь проблемы)

одно дело - запрос из формы, которая сгенерилась и правильно отправилась

нет

а другое дело - Ф5

Ты какую то хуйню придумал

при Ф5 форма не генерилась, соответственно токен взят старый

мне кажется, тебе пора в бан за кол-во неадеквата и мата )

Не, не пора

при Ф5 форма не генерилась, соответственно токен взят старый

Что, офк...

Ты не шаришь, что такое csrf, да?

при Ф5 форма не генерилась, соответственно токен взят старый

Покажи мне кейс, где это является уязвимостью

Или у тебя мидлвейр падает?

ERROR: S client not available

По ощущениям, миддл отрабатывает после попадания в контроллер, хотя должно быть наоборот

просто после post запроса тебе нужно редиректить на гет запрос, чтобы при ф5 у тебя повторялся гет запрос, а не пост

зачем

когда можно проверять токен и генерить новый после проверки

ну и при нажатии в браузере "назад" интересно, что будет

Нашел решение. в миддлвейре VerifyCsrfToken переопределить addCookieToResponse: if (!$this->isReading($request)) { $request->session()->regenerateToken(); } return parent::addCookieToResponse($request, $response);

ну и при нажатии в браузере "назад" интересно, что будет

Тебе выше единственное верное решение сказали. После поста должен быть редирект если это работа в браузере и формы

Тебе выше единственное верное решение сказали. После поста должен быть редирект если это работа в браузере и формы

С чего оно единственно верное?

С чего оно единственно верное?

Ну так токен же должен и в HTML обновиться

Иначе откуда взять новый

Если ajax форма, то сделать endpoint на regenerate токен или возвращать новый после отправки

Иначе откуда взять новый

А он у кого-нибудь обновляется по-умолчанию в ой же сессии? Я почему-то думал, что он должен с каждой генерацией формы новый создаваться. А он один и тот же на протяжении сессии

А он у кого-нибудь обновляется по-умолчанию в ой же сессии? Я почему-то думал, что он должен с каждой генерацией формы новый создаваться. А он один и тот же на протяжении сессии

Не скажу по памяти, но по идее он по лайфтайму

С чего оно единственно верное?

С того что избавляет от всех проблем и не добавляет новых. Во всех гайдах это написано

15 минут условно

Народ, а кто может на данном фреймворке написать сайт, точнее уже имеющийся контент перенести и доработать страницы ( верстка, дизайн, функционал)

Услуги веб студии интересуют или только фрилансеры?

я могу

Нтеиесует чтобы довели до ума, а кто делать будет не важно.

ТЗ есть?

А вот с ТЗ нужно садиться и в деталях прорабатывать сайт

класс...))

можешь в личку скинуть подробности, посмотрю

И если все ок, то на будущее нужно будет развивать проект

То есть не разовая работа

Позже, сейчас пока на работе

Если ajax форма, то сделать endpoint на regenerate токен или возвращать новый после отправки

или токен кладется в куку, а js из куки берет и добавляет в хедер только сервер должен уметь так работать ларавел так делает, если не ошибаюсь

homestead как конектиться не через vagrant vagrant , а от рута?

Ни в коем случае не рут

sudo?