Что делать при обнаружении мультисабмита?

Question

[netrox]

К слову при сабмите формы происходит проверка по на мультисабмит (с помощью токенов и сессий) . Во время проверки обнаружилось, что это повторный запрос и при этом предыдущий ещё не завершён . Как в таком случае запретить повторный сабмит и при этом не прерывать тот запрос , который ещё не завершился ?

Answer 1

[Иван Шумов]

На клиентской стороне необходимо делать проверки, блокировать кнопки и и.п., а так же и на фронте и на бэке использовать correlation token. Чтобы одна форма дважды не приводила к успешной обработке

Comments

[netrox]

На стороне клиента кнопка блокируется. Также есть проверка на стороне сервера, а вот что делать, если проверка вернула false (то есть обнаружен повторный сабмит)

[Иван Шумов]

netrox, какая именно проверка, где и что в вашем случае означает false?

[netrox]

Иван Шумов, В данном случае использую ларавел и сравниваю токены из сессии с токеном из Request. Если совпадают перезаписываю токен в сессии, а если нет то возвращаю false

[Иван Шумов]

netrox, не очень прозрачно. При генерации формы генерируйте в форму скрытое поле с токеном (форм-то может быть много, технически). На сервере проверяйте, например, в memcached или Redis наличие этого токена. Если есть - возвращайте http code 422 и забывайте. Токены в кэше храните, допустим, на сутки, а в виде токена используйте guid

[Antonio Solo]

Иван Шумов, я бы сделал наоборот. если токена нет - 422 забывайте. если есть удаляйте и затирайте.

[netrox]

Иван Шумов, Ну да в ларавел предусмотренно скрытое поле с токеном, которые посылается в теле запроса. И потом уже его значение сравнивется со значением токена в сессии . А клиент ожидает редиректа , возвращая ошибку http 422 она отобразится у него и редиректа уже не будет

[Иван Шумов]

Antonio Solo, это уже вкусовщина) можно по-разному

[Иван Шумов]

netrox, ну и вот. Вопрос решен?)

[netrox]

Иван Шумов ,А в случае если нужен редирект? А можно ли как то дождаться завершения первого запроса и при этом игнорировать лишние запросы (без вывода ошибок клиенту) ?

[Иван Шумов]

netrox, если вы используете синхронную отправку формы то никак. Браузер получает ответ от сервера и кто первый тот и прав.

[netrox]

Иван Шумов, То есть лучше тут использовать ajax , да ?

[Иван Шумов]

netrox, из моей практики - да. А так - блокирование кнопки в момент отправки формы обычно спасает от мискликов

[netrox]

Иван Шумов, Ещё вопрос . Насколько правильный такой способ ?

• при сабмите отправить серверу запрос на провеку
  
• если запрос прошёл провеку отправить новый запрос на выполнение(тот самый котрый занимает время)
  
• в противном случае ждать выполнения
  

[Иван Шумов]

netrox, дополнительное усложнение на ровном месте и все-равно вернёт к начальной проблеме

[netrox]

Иван Шумов, Почему ? У меня проблема дождаться выполнения первого запроса и не пропускать повторного запроса до его окончания

[Иван Шумов]

netrox, усложнение это точка отказа. Чем проще тем лучше

[netrox]

Иван Шумов, Понятно, но как это вернёт меня к началной проблеме ?

[Иван Шумов]

netrox, отправить форму можно дважды вне зависимости от того сколько проверок вы добавите перед этим

[netrox]

Иван Шумов, Я же указал, что заросы будут уходить на выролнение после проверки

Answer 2

[xtress]

Чем совершается запрос? jQuery? Если да - ждать ответа и не давать выполнять onSubmit, пока предыдущий не выполнен (успешно или нет - без разницы, главное, чтобы не было лишних).

Comments

[netrox]

Не ajax. Обычный Post запрос

[xtress]

Без проверки на клиентской стороне - вам никак не запретить создание второго запроса пока не выполнен первый. Вы только можете делать то, что вы уже делаете - проверять токены на бэке и смотреть, но да, если это из браузера - второй запрос прервёт первый.
Иван правильно пишет ниже - такое поведение должно "обрабатываться" на клиенте - на время исполнения запроса блокировать кнопки и, желательно, но не обязательно, - блокировать повторные запросы пока самый первый не выполниться, после выполнения первого - разблокировали кнопку и позволили отправить следующий, если нужно выполнили ещё что-то (редирект/оповещение и т.д.).

[netrox]

xtress, На стороне клиента блокируется кнопка. Допустим на стороне сервера было выявлено, что это повторный запрос и при этом первый ещё на завершён (после завершения следует редирект) как "блокировать" такой запрос ?

[xtress]

Помимо того, что вам советует Иван выше, я бы предложил, как вариант, что-нибудь такое - tpcg.io/MvE83q . Это не даст повторно засабмитить форму, пока первый запрос не выполнен, проверка на клиенте.
Это, имхо не самый лучший вариант. В качестве других вариантов можно рассмотреть ответы отсюда: https://stackoverflow.com/questions/2830542/preven...

[AUser0]

Возвращать например 422-ой HTTP код, чего тут думать-то.

[netrox]

xtress, Данные проверки присутсвуют уже