Передаю post запрос через ajax в итоге ошибка 419 . (если get запрос то ошибок нет)
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$.ajax({
url: "/exit",
type: "POST",
data: "get=on",
success: function (response) {
console.log('+')
}
});в шапе присутствует
<meta name="csrf-token" content="{{ csrf_token() }}">
Роутер Route::post(‘/exit’, ‘SpaController@exit’);
Как решить данную ошибку
-
Вопрос задан
-
9896 просмотров
Решил проблему передачей токена в data
$.ajax({
url: "/exit",
type: "POST",
data: {"_token": $('meta[name="csrf-token"]').attr('content')},
success: function (response) {
console.log('+')
}
});Пригласить эксперта
У меня рабочая схема, без form выглядит, не вдаваясь в детали, вот так:
HTML:
<div>
@csrf{{--эта конструкция преобразуется в input c именем _token, пример: <input type="hidden" name="_token" value="tyiV5lsNJy9aA245dke7979aW1otyutV5D">--}}
<input class='text' type='text'>
<input type='submit'>
</div>JQuery:
let someV = $('.text').val();
let token = $("input[name='_token']").val();
$.ajax({
type: 'POST',
url: '/someurl',
data: {
'_token': token,
"someV" : someV
},
success:function (res){
console.log('F**k yeah');
}
})Надеюсь кому-нибудь поможет)
-
Показать ещё
Загружается…
21 сент. 2023, в 08:33
10000 руб./за проект
21 сент. 2023, в 08:28
47000 руб./за проект
21 сент. 2023, в 07:57
20000 руб./за проект
Минуточку внимания
HTTP response status code 419 Page Expired is an unofficial client error that is Laravel-specific and returned by the server to indicate that the Cross-Site Request Forgery (CSRF) validation has failed.
Table of Contents
- Usage
- Example
- Takeaway
Usage
The 419 Page Expired error created by the Laravel PHP Framework message is received when the CSRF validation fails. This implies that CSRF protection is turned on; it is enabled by default for all HTTP methods POST, PUT, PATCH, and DELETE requests.
Note
Search engines like Google will not index a URL with 419 Page Expired response status, and consequently, URLs that have been indexed in the past but are now returning this HTTP status code will be removed from the search results.
Example
In the example, the client attempts to send a file and the server responds with the 419 Page Expired error to indicate that the CSRF validation failed.
Request
PUT / HTTP/1.1
Host: www.example.re
Content-Type: applications/pdf
Content-Length: 10000
<PDF file is transferred>
Response
HTTP/1.1 419 Page Expired
Content-Type: text/html
Content-Length: 150
<html>
<head>
<title>Page Expired</title>
</head>
<body>
<p>Your session has expired. Please refresh and try again.</p>
</body>
</html>
Takeaway
The 419 Page Expired status code is a Larval-specific client error sent to indicate that the CSRF validation has failed.
Last updated: August 2, 2023
Отправить запрос в Laravel — Ошибка — 419 Извините, ваша сессия / 419 ваша страница истекла
419 К сожалению, срок вашего сеанса истек. Обновите страницу и попробуйте еще раз.
В версии 5.6 такой проблемы не было.
Перед чтением ниже убедитесь, что у вас есть @csrf или > в вашей форме нравится
Сообщение об ошибке Session Expired или 419 Page Expired в larvel появляется из-за того, что где-то не удается проверить ваш токен csrf, что означает, что AppHttpMiddlewareVerifyCsrfToken::class промежуточное ПО уже включено. В форме @csrf уже добавлена директива blade, что тоже должно быть хорошо.
Затем другая область для проверки — это сеанс. csrf Маркер проверка непосредственно связана с вашей сессией, поэтому вы можете проверить , является ли драйвер сеанса работой или нет, например, неправильно настроенного Redis может вызвать проблемы.
Возможно, вы можете попробовать переключить драйвер / программное обеспечение сеанса из .env файла, поддерживаемые драйверы приведены ниже.
Поддерживаемые драйверы сеансов в Laravel 5, Laravel 6 и Laravel 7 (Doc Link)
- file — сеансы хранятся в хранилище / framework / sessions.
- cookie — сеансы хранятся в безопасных зашифрованных файлах cookie.
- database — сеансы хранятся в реляционной базе данных.
- memcached / redis — сеансы хранятся в одном из этих быстрых хранилищ на основе кеша.
- array — сеансы хранятся в массиве PHP и не сохраняются.
Если ваша форма работает после переключения драйвера сеанса, значит, что-то не так с этим конкретным драйвером, попробуйте исправить ошибку оттуда.
Возможные сценарии, подверженные ошибкам
Вероятно, сеансы на основе файлов могут не работать из-за проблем с правами доступа к /storage каталогу (быстрый поиск в Google даст вам решение), также помните, что установка 777 для каталога никогда не является решением.
В случае с драйвером базы данных ваше соединение с БД может быть неправильным, или sessions таблица может не существовать или неправильно настроена (неправильная часть конфигурации была подтверждена как проблема в соответствии с комментарием @Junaid Qadir).
redis/memcached конфигурация неверна или одновременно обрабатывается другим фрагментом кода в системе.
Было бы неплохо выполнить php artisan key:generate и сгенерировать новый ключ приложения, который, в свою очередь, сбрасывает данные сеанса.
Очистить кеш браузера СЛОЖНО , я обнаружил, что хром и firefox виноваты больше, чем я могу вспомнить.
Laravel по-русски
Русское сообщество разработки на PHP-фреймворке Laravel.
- Темы: Активные | Без ответов
Страницы 1
#1 09.07.2019 16:07:58
Ошибка 419 при любых настройках сессии и формы
Всем привет.
Проблема такая
У меня при отправке формы ошибка 419 page expired.
Перелопатив всё, что нашел в гугле, я пробовал делать следующее:
Проставлять права на запись в папке storage (файлы создаются при каждом обновлении страницы новые)
Переключился на хранение в БД (новые строки создаются)
Прописывал в форме так: @csrf
чистил кэши, пересобирал проект после удаления папки «vendor»
Ничего из этого не помогло. Единственным выходом было отрубить эту проверку csrf токена.
Сайт вертится на open server. Laravel 5.8 самая свежая.
Повторюсь, что всё работает, если вырубить проверку токена. МОжет надо что-то с сервером делать?
Код роута:
Что ЭТОГО 419 страница истекла laravel ОШИБКА
Если вы используете приложение, разработанное в laravel, вы можете получить сообщение об ошибке «Срок действия страницы 419 истек».
Что такое 419 Страница просрочена
Давайте сначала обсудим 419 код состояния HTTP, Код состояния 419 Указывает, что аутентификация не удалась для ранее аутентифицированного запроса или истек срок действия ключа / токена аутентификации. Если вы посмотрите на стандартные коды состояния HTTP, вы не найдете его там, вы можете каким-то образом рассматривать его как альтернативу 401, что если код статуса для неавторизованных. Таким образом, это означает, что когда вы получаете ошибку с истекшим сроком действия 419 страниц, это означает, что сервер пытается сообщить вам, что ваша аутентификация для определенного запроса истекла.
Почему вы получаете 419 Page истек в Laravel?
Laravel Framework имеет функцию безопасности, которая помогает вам в защита вашего сайта от CSRF, Если вам интересно, почему вы получаете эту ошибку, прочитайте этот пример, и вы узнаете о базовом механизме защиты от CSRF в Laravel и о причине ошибки.
Допустим, вы зашли на страницу входа в приложение laravel в своем браузере, и вам позвонил друг. Вы были заняты разговором с другом и забыли о входе в приложение, и страница оставалась там довольно долго. Вы вернулись туда, где ушли, вы заполнили форму и Voilá, ошибка 419 страницы истекла, Если вы просматриваете страницу или просматриваете исходный код в браузере и просматриваете форму входа, это скрытое поле ввода с длинной строкой, например, токен CSRF, этот токен отвечает за защиту от CSRF [подробнее о csrf]. Когда вы покинули экран своего компьютера и были заняты разговором с другом, срок действия этого токена истек, и ваш запрос был отклонен с кодом состояния 419 HTTP.
Что может вызвать проблему истечения срока действия страницы 419
- Вы не отправляете токен CSRF с формой и не используете промежуточное ПО verifyCSRF
- Вы тратите слишком много времени на отправку запроса
- вы взломали скрытое поле токена
- Вы правильно настроили параметры сеанса в файле конфигурации сеанса
Как это исправить?
Самый простой способ исправить проблему — перезагрузить страницу. После перезагрузки вы получите новый токен, который означает, что вы готовы к работе.
Проверьте токен csrf в форме, которую вы отправляете. Наконец, убедитесь, что конфигурация для домена и файлов cookie выполнена правильно в файле конфигурации сеанса.
Если вы разрабатываете приложение, вы можете время от времени использовать некоторый Javascript для обновления токена. Вот ссылке как стартер для решения вашей проблемы.
Опубликовано:
- Backend
- Laravel
Использование CSRF-токенов добавляет дополнительный уровень безопасности, подтверждая, что запрос исходит от того же приложения, а не от вредоносного источника. Laravel обеспечивает встроенную защиту от CSRF-атак путём генерации и проверки CSRF-токенов.
Использование CSRF-токенов добавляет дополнительный уровень безопасности, подтверждая, что запрос исходит от того же приложения, а не от вредоносного источника. Laravel обеспечивает встроенную защиту от CSRF-атак путём генерации и проверки CSRF-токенов. Однако его неправильное использование может привести к ошибке: 419 Page Expired
.
Чтобы устранить ошибку 419 Page Expired
, необходимо убедиться, что CSRF-токен включён в отправляемую форму, добавив @csrf после между открывающим и закрывающим тегами <form>. При этом в форму будет автоматически добавлено скрытое поле input, содержащее CSRF-токен.
Вот пример того, как будет выглядеть обновлённая форма с использованием @csrf:
<form method="POST" action="/your-route">
@csrf
<!-- Остальные элементы формы -->
</form>В качестве альтернативы вы можете использовать csrf_field() в <form>, которая выглядит следующим образом:
<form method="POST" action="/your-route">
{{ csrf_field() }}
<!-- Остальные элементы вашей формы -->
</form>Обратите внимание, что ошибка 419 Page Expired
может возникнуть и при наличии токена. Обычно это означает, что пользователь был неактивен в течение определённого времени и срок действия токена истёк. Это можно исправить, просто обновив страницу и отправив форму заново.
В примерах кода выше мы узнали, как применить токен к обычной форме. Читайте дальше, чтобы узнать, как добавить CSRF-токен в запросы Ajax POST с помощью jQuery или Axios. Мы также узнаем, как отключить проверку CSRF-токена для определённого маршрута или всего приложения. Наконец, мы ответим на некоторые часто задаваемые вопросы о том, почему GET-запрос не требует CSRF верификации и почему API вообще не требуют её.
Как исправить 419 (unknown status)
с помощью Ajax POST (jQuery)
При отправке формы с помощью AJAX из jQuery вы можете получить ответ об ошибке — 419 (unknown status)
.
Используя Laravel/jQuery, вы можете исправить ошибку 419 (unknown status)
, добавив вызов csrf_token() в раздел <head> и вызвав $.ajaxSetup, для настройки jQuery на добавление токена в заголовки всех последующих POST-запросов.
Выполните следующие шаги, чтобы применить это исправление к вашему коду:
-
Добавьте CSRF-токен в раздел
<head>:<head>
<meta name="csrf-token" content="{{ csrf_token() }}">
</head> -
Добавьте вызов
$.ajaxSetup:<script>
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
</script> -
Добавьте код jQuery для отправки POST-запроса:
<script>
// Отправляем сокращенный jQuery POST:
$.post('/formProcessor');
// Или отправьте обычный jQuery POST:
$.ajax({
type: "POST",
url: "/formProcessor"
});
</script>
Полный пример (маршрут и вид):
routes/web.php:
Route::get('/form', function () {
return view('form');
});
Route::post('/formProcessor', function () {
return response('', 200);
});/resources/views/form-jquery-ajax.blade.php:
<!DOCTYPE html>
<html lang="{{ str_replace('_', '-', app()->getLocale()) }}">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>jQuery Ajax POST Example</title>
<meta name="csrf-token" content="{{ csrf_token() }}">
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.6.4/jquery.min.js"></script>
</head>
<body>
<button class="sendButton">Click me</button>
<script>
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$('.sendButton').click(function(){
$.post('/formProcessor');
});
</script>
</body>
</html>Использование Axios для отправки Ajax POST (нет необходимости устанавливать CSRF-токен)
Axios — это HTTP-клиент для JavaScript. Он значительно упрощает отправку AJAX POST-запросов. Он делает это, устраняя необходимость включать jQuery, устанавливать токен или вызывать функцию настройки. Я рекомендую использовать Axios в любом проекте, который отправляет Ajax-запросы из JavaScript.
По умолчанию Laravel поставляется с Axios и Vite. Для того чтобы использовать Axios, нам просто нужно выполнить следующие команды:
npm install
npm run buildЭти команды установили Axios и создали правильный .js файл в папке /public.
Теперь вы можете включить app.js и использовать Axios в своём коде для отправки POST-запроса, как показано в этом примере:
/resources/views/form-axios-ajax.blade.php:
<!DOCTYPE html>
<html lang="{{ str_replace('_', '-', app()->getLocale()) }}">
<head>
<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>jQuery Ajax POST Example</title>
@vite(['resources/js/app.js'])
</head>
<body>
<button class="sendButton">Click me</button>
<script>
document.querySelector('.sendButton').addEventListener('click', function (event) {
axios.post('/formProcessor', {
// Полезная нагрузка запроса
data: 'your-data'
}).then(response => {
// Обработка ответа
alert('successful!');
}).catch(error => {
// Обработка ошибки
console.error(error);
});
});
</script>
</body>
</html>Как отключить проверку CSRF-токенов в Laravel
Чтобы отключить проверку токена CSRF для всех маршрутов в Laravel, вы можете удалить промежуточное программное обеспечение CSRF, выполнив следующие шаги:
-
Откройте файл
app/Http/Kernel.phpв вашем проекте Laravel. -
Найдите свойство
$middlewareв классеKernel. -
Найдите middleware класс
VerifyCsrfToken, который обычно указывается как\App\Http\Middleware\VerifyCsrfToken::class. -
Удалите или закомментируйте строку, содержащую middleware класс
VerifyCsrfToken.Например, измените:
app/Http/Kernel.php:
\App\Http\Middleware\VerifyCsrfToken::class,на
// \App\Http\Middleware\VerifyCsrfToken::class, -
Сохраните изменения в файле
Kernel.php.
Удалив middleware
VerifyCsrfToken, проверка маркера CSRF будет отключена для всех маршрутов в вашем приложении Laravel. Однако помните, что этот подход устраняет важную меру безопасности, поэтому используйте его с осторожностью и только в конкретных случаях, когда защита CSRF не требуется.
Как отключить CSRF-токен только для определённого маршрута
Чтобы отключить проверку CSRF-токена для определённого маршрута в Laravel, вы можете исключить маршрут из защиты CSRF, изменив middleware CSRF. Вот как это можно сделать:
-
Откройте файл
app/Http/Middleware/VerifyCsrfToken.phpв вашем проекте Laravel. -
В классе
VerifyCsrfTokenнайдите свойствоexcept. Это свойство определяет URI, которые должны быть исключены из проверки CSRF-токенов. -
Добавьте URI маршрута, который вы хотите исключить из защиты CSRF, в массив
except. Например, если вы хотите исключить маршрут/exampleиз проверки CSRF, добавьте следующую строку в массивexcept:app/Http/Middleware/VerifyCsrfToken.php:
protected $except = [
'/example',
];Если вам нужно исключить несколько маршрутов, вы можете добавить их в массив через запятую.
-
Сохраните изменения в файле
VerifyCsrfToken.php.
Существуют обоснованные случаи использования отключения VerifyCsrfToken для определённых маршрутов. Например, чтобы наше приложение могло получать обратные вызовы от сторонних систем, например, от поставщика платежей. Обычно это используется для обновления статуса заказа до оплаченного.
Добавив конкретный маршрут в массив except в middleware
VerifyCsrfToken, Laravel обойдёт проверку CSRF-токена для этого маршрута. Важно отметить, что хотя этот подход может быть полезен в определённых сценариях, отключение CSRF защиты должно выполняться осторожно и только в случае необходимости для обеспечения безопасности вашего приложения.
Почему маршруты API Laravel не используют проверку CSRF-токена
Стоит отметить, что в Laravel middleware для проверки CSRF-токенов намеренно не добавляется автоматически в маршруты API.
Маршруты API Laravel не используют проверку CSRF (Cross-Site Request Forgery) по умолчанию из-за своей stateless природы. API обычно работают в режиме stateless, то есть они не хранят данные сессии и не поддерживают состояние клиента между запросами.
Вместо этого API используют механизмы аутентификации на основе токенов, такие, как JWT (JSON Web Tokens) или OAuth для аутентификации и авторизации запросов. Такая аутентификация на основе токенов обеспечивает безопасный механизм без необходимости использования CSRF-токенов. Однако для традиционных веб-форм защита от CSRF остаётся крайне важной.
Почему к GET-запросам Laravel не применяется проверка CSRF-токена
CSRF-токен требуется в любых запросах POST, PUT, PATCH или DELETE, которые отправляются с веб-сайта. Но почему он не требуется, когда мы отправляем GET-запрос?
GET-запросы обычно используются для получения данных и считаются безопасными, поскольку они не должны изменять данные на стороне сервера. Поскольку CSRF атаки основаны на несанкционированных модификациях, применение CSRF-токенов к GET-запросам не требуется.
Для полноты картины стоит упомянуть, что запросы OPTIONS и HEAD также считаются запросами только для чтения, которые, как и GET-запросы, не требуют проверки CSRF-токена. Как показывает официальный код VerifyCsrfToken Middleware:
VerifyCsrfToken.php:
protected function isReading($request)
{
return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']);
}Заключение
В этой статье рассматривалось, как устранить ошибки 419 Page Expired
и CSRF token mismatch
в Laravel при использовании обычных форм или Ajax-запросов POST, отправленных с помощью jQuery или Axios.
Кроме того, в статье было показано, как можно отключить проверку CSRF-токена для определённого маршрута и как её можно отключить полностью. Наконец, мы также объяснили, почему маршруты API не используют проверку CSRF-токена по умолчанию и почему GET-запросы в Laravel не проверяют токен CSRF.
Надеюсь, эта статья будет вам полезна. Счастливого кодинга!
June 26, 2023
Category : Laravel
The Laravel status code 419 typically indicates that the authentication token or session has expired or become invalid. This error is also known as the «Unknown Status» error.
This error is often caused by security measures implemented to protect user sessions. Laravel uses CSRF (Cross-Site Request Forgery) tokens to prevent unauthorized access to sensitive actions or resources. If the CSRF token expires or becomes invalid, Laravel will return a 419 error to prevent the request from being processed.
To resolve this error, you can try refreshing the page or logging out and logging back in again to obtain a new CSRF token. You can also check your server logs or Laravel debug information for more details about the error.
Additionally, make sure that your web application is configured correctly to handle CSRF tokens. Laravel provides middleware to automatically verify CSRF tokens on all incoming POST, PUT, and DELETE requests. You can also manually add the CSRF token to your forms by using the @csrf directive in your Blade templates.
You can use this solution with laravel 6, laravel 7, laravel 8, laravel 9 and laravel 10 versions.
If you are working with ajax laravel call then you might found following errors:
- status code: 419 unknown status
- 419 (unknown status laravel postman)
- laravel ajax post 419 (unknown status)
- 419 status code laravel, laravel token mismatch exception ajax,uncaught in promise error: request failed with status code 419
- csrf token mismatch laravel ajax
- laravel 419 unknown status, 500 internal server error laravel ajax
- ajax headers in laravel
- csrf token mismatch laravel ajax
You will found following solutions:
Solution 1:
Use this in the head section:
<head>
...
<meta name="csrf-token" content="{{ csrf_token() }}">
</head>
and Pass the csrf token in ajax:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
Solution 2:
Use this in the head section:
<head>
...
<meta name="csrf-token" content="{{ csrf_token() }}">
</head>
and Pass the csrf token in ajax:
$.ajax({
type: "POST",
url: '/your_url',
data: {
first_name: "Hardik",
last_name: "Savani",
_token: $('meta[name="csrf-token"]').attr('content')
},
success: function (data) {
console.log(data);
},
error: function (data, textStatus, errorThrown) {
console.log(data);
},
});
Solution 3:
Pass the csrf token in ajax:
$.ajax({
type: "POST",
url: '/your_url',
data: {
first_name: "Hardik",
last_name: "Savani",
_token: '{!! csrf_token() !!}'
},
success: function (data) {
console.log(data);
},
error: function (data, textStatus, errorThrown) {
console.log(data);
},
});
I hope it can help you…