Laravel多表单提交419错误解决方法

本文针对Laravel应用中多表单提交时，首个表单成功而后续表单出现419 | PAGE EXPIRED错误的问题，进行了深入分析并提供了详细的解决方案。该错误通常源于CSRF令牌验证失败，Laravel通过CSRF保护机制防止跨站请求伪造。文章首先解释了Laravel的CSRF保护机制，以及419错误的常见原因，包括CSRF令牌缺失或会话过期。然后，通过分析问题场景，指出错误可能出现在视图层，即第二个表单缺少CSRF令牌。针对此问题，本文提供了在Blade模板中使用`@csrf`指令添加CSRF令牌的简易方法，并给出了包含`@csrf`指令的完整表单示例。此外，还涵盖了AJAX请求中CSRF令牌的处理、会话过期问题的应对以及CSRF排除的注意事项，旨在帮助开发者全面理解和解决Laravel中的419错误，确保应用安全稳定运行。

理解Laravel中的419错误

在Laravel框架中，419 | PAGE EXPIRED错误通常表示CSRF（跨站请求伪造）令牌验证失败。Laravel默认开启了CSRF保护，以防止恶意攻击者冒充合法用户提交请求。当一个POST、PUT、PATCH或DELETE请求发送到服务器时，Laravel会检查请求中是否包含一个有效的CSRF令牌。如果令牌缺失、无效或与会话中的令牌不匹配，框架就会抛出419错误。

此外，会话过期也可能导致419错误，因为CSRF令牌是与用户会话绑定的。如果用户长时间不活动导致会话过期，即使表单中包含令牌，该令牌也可能不再有效。

Laravel的CSRF保护机制

Laravel通过在每个用户会话中生成一个唯一的CSRF“令牌”来保护应用程序免受跨站请求伪造。这个令牌被存储在用户的会话中，并且在每次渲染表单时，都会将其嵌入到一个隐藏的表单字段中。当表单被提交时，Laravel的VerifyCsrfToken中间件会比较请求中提供的令牌与会话中存储的令牌。如果它们不匹配，请求将被拒绝。

问题场景分析

根据描述，用户在一个页面上使用了两个不同的视图文件来承载两个独立的表单。第一个表单能够成功提交数据并读取，而第二个表单提交时却遇到了419 | PAGE EXPIRED错误。这强烈暗示问题出在第二个表单的CSRF令牌上。

我们来回顾一下用户提供的代码片段：

路由定义 (routes/web.php)：

Route::group([
    'prefix' => 'atribut',
    'as' => 'atribut.'
], function () {
    Route::group(['prefix' => 'tabHome', 'as' => 'tabHome.'], function () {
        Route::get('', [AtributDashboardController::class, 'showTab'])->name('showTab');

        Route::post('addDataFirst', [AtributDashboardController::class, 'addDataFirst'])->name('addDataFirst');
        Route::get('deleteDataFirst/{id}', [AtributDashboardController::class, 'deleteDataFirst'])->name('deleteDataFirst');

        Route::post('addDataSecond', [AtributDashboardController::class, 'addDataSecond'])->name('addDataSecond');
        Route::get('deleteDataSecond/{id}', [AtributDashboardController::class, 'deleteDataSecond'])->name('deleteDataSecond');
    });
});

控制器方法 (AtributDashboardController.php)：

public function __construct()
{
    $this->inpDataFirst = new inpDataFirst ();
    $this->inpDataSecond = new inpDataSecond ();
}

public function addDataFirst()
{
    $data = [
        'name' => Request()->nameForm,
        'address' => Request()->addressForm,
    ];
    $this->inpDataFirst->addData($data);
    return redirect('atribut/tabHome');
}

public function addDataSecond()
{
    $data = [
        'name' => Request()->nameForm,
        'address' => Request()->addressForm,
    ];
    $this->inpDataSecond->addData($data);
    return redirect('atribut/tabHome');
}

表单动作（在Blade视图中）：

第一个表单：

第二个表单：

从上述代码中可以看出，路由和控制器方法都定义得非常标准，没有明显错误。问题最可能出在视图层，即表单中缺少了CSRF令牌。由于第一个表单能够成功提交，我们推断它可能已经包含了CSRF令牌（即使在问题描述中没有直接显示）。而第二个表单则很可能遗漏了这一关键部分。

解决方案：添加CSRF令牌

解决419 | PAGE EXPIRED错误的最直接方法是确保所有POST、PUT、PATCH或DELETE类型的表单都包含CSRF令牌。在Laravel的Blade模板中，这可以通过使用@csrf指令轻松实现。

@csrf指令会渲染一个隐藏的HTML输入字段，其中包含了当前会话的CSRF令牌。例如：

<input type="hidden" name="_token" value="你的CSRF令牌值">

要修复第二个表单，只需在

    @csrf
    姓名:
    <input type="text" id="name1" name="nameForm" placeholder="请输入姓名">
    

    地址:
    <input type="text" id="address1" name="addressForm" placeholder="请输入地址">
    

    提交第一个表单

第二个表单示例：

    @csrf
    姓名:
    <input type="text" id="name2" name="nameForm" placeholder="请输入姓名">
    

    地址:
    <input type="text" id="address2" name="addressForm" placeholder="请输入地址">
    

    提交第二个表单

确保这两个视图文件都在同一个页面中被正确包含（例如，通过@include或@extends指令）。

注意事项与最佳实践

1. 所有POST请求： 记住，任何通过POST方法提交的表单（包括通过JavaScript动态提交的）都需要CSRF令牌。对于PUT、PATCH、DELETE等方法，虽然HTML表单本身不支持这些方法，但如果通过JavaScript模拟这些请求，同样需要传递CSRF令牌。

2. AJAX请求中的CSRF： 如果您使用AJAX（如Axios、jQuery的$.ajax或原生fetch）提交数据，您需要手动将CSRF令牌包含在请求头中。

   • 在HTML头部添加CSRF令牌元标签：

   • 在JavaScript中获取并设置请求头：
     • 对于Axios：

       window.axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';
       let token = document.head.querySelector('meta[name="csrf-token"]');
       if (token) {
           window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
       } else {
           console.error('CSRF token not found: https://laravel.com/docs/csrf#csrf-x-csrf-token');
       }

     • 对于jQuery：

       $.ajaxSetup({
           headers: {
               'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
           }
       });
       // 之后所有的 $.post(), $.ajax() 等都会自动带上 CSRF token

3. 会话过期： 如果用户长时间不操作导致会话过期，即使CSRF令牌存在，也可能因会话失效而导致419错误。可以通过调整config/session.php中的lifetime配置来延长会话有效期，或者实现会话续期机制。

4. CSRF排除： 在极少数情况下，某些路由可能不需要CSRF保护（例如，公共API端点）。您可以在App\Http\Middleware\VerifyCsrfToken中间件的$except数组中列出这些URI。请谨慎使用此功能，因为它会降低应用程序的安全性。

   protected $except = [
       '/stripe/webhook',
       '/api/*'
   ];

5. 调试技巧：

   • 使用浏览器开发者工具检查表单的HTML源代码，确认是否存在名为_token的隐藏输入字段。
   • 检查网络请求的Payload或Headers，确认_token是否被正确发送。
   • 查看Laravel的日志文件（storage/logs/laravel.log），可能会有更详细的错误信息。

总结

419 | PAGE EXPIRED错误在Laravel中通常是由于CSRF令牌缺失或无效引起的。对于表单提交，最常见的解决方案就是在表单内部添加@csrf Blade指令。理解Laravel的CSRF保护机制及其工作原理，是确保Web应用程序安全性的重要一环。通过遵循上述最佳实践，您可以有效地防止CSRF攻击，并确保应用程序的稳定运行。

今天关于《Laravel多表单提交419错误解决方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！