ThunderCat

В вашем случае есть несколько способов, различных по реализации.
1) Самый простой - не использовать токен в заголовке, а переслать его как пост параметр, соответственно линк будет по сути формой (точнее ее кнопкой субмит). На сервере соответственно проверяете токен вручную из пост запроса, обратно отдаете собсно поток файла, предварив его соответствующими заголовками, что-то типа

header("Cache-Control: public");
    header("Content-Description: File Transfer");
    header("Content-Disposition: attachment; filename=somefile.ext");
    header("Content-Transfer-Encoding: binary");
    header("Content-Type: binary/octet-stream");
    readfile($filePath);

2) Если принципиально хочется через мидлвэйр ловить токен и больше не заморачиваться, то фетч - задаем заголовки с токеном. На сервере отдаем файл, на клиенте ловим как блоб, делаем из блоба урл, и на скрытый линк с этим урл делаем клик. Типа как тут.

3) Так же через фетч отдаем заголовки, на сервере формируем временный разовый линк с каким-нибудь хитрым хэшем, обратно возвращаем этот линк, далее в колбэке делаем window.location = хитрый_линк, и с сервера с заголовками из первого варианта отдаем файл, - вуаля, получаем диалог сохранения. Беда как и в первом случае с отсутствием заголовков во втором запросе с хитрым линком, то есть те же яйца, вид сбоку... Единственно что тут можно прописать урл скачивания как публичный, и быть уверенным что линк точно получен авторизованным пользователем.

https://www.google.com/search?q=%D1%80%D0%B5%D0%BA...

3 линк - рекомендации гугла для разрабов. Остальное читать в качестве материала для ознакомления.

Сначала убираете у всех, затем включаете на текущем.

Штош...

1) Элементарные ошибки на уровне запросов с инжекциями.
2) Класс документ зачем-то получает объект юзера, нигде его не использует, тем не менее даже при использовании нарушает принцип инкапсуляции, объекты не должны по логике знать о других объектах.
3) Класс юзер так же нарушает принципы инкапсуляции и единой ответственности, в частности зачем-то работает с документом, а не занимается обслуживанием сущности юзера, опять же, класс не должен знать о других сущностях, он должен реализовывать только логику собственной сущности.
4) методы getTitle() и getContent(), кроме того что не указывают явно на необходимые поля, надеясь на неизменность сущности в бд, еще и накладывают множественную нагрузку, по сути на каждый чих выполняя один и тот же запрос, вместо 1 запроса инициализации данных и далее обращения к уже существующим атрибутам.
5) Отсутствие неймспейсов и изоляция кода по классам так же отсутствует, соответственно про нормальный автолоад можно забыть.

Вывод: говнокод в чистом виде.

Для начала, pdf не самый удобный для редактирования формат.

Если у вас задача получать разные пдф, заполнять их и отдавать заполненные, то скорее всего подойдет mPDF, Zend_Pdf или связка fpdf + fpdi. В любом варианте код простым не будет, а чтение доков займет прилично времени.

Если же задача заполнить определенный шаблон и отдать его в виде пдф, то проще создать нормальный хтмл шаблон, сверстанный под печать, а затем выводить его в пдф через хеадлесс хром, дающий максимальную повторяемость с хтмл шаблоном. Ну или другой пдф построитель, если нужно.

я правильно понимаю что вы меняете innerHTML у строки, полученной из innerHTML?

storage/logs/laravel.log

Так а в чем вопрос? У вас же переменная переписывается внутри цикла, во втором ифе? Учитесь дебажить:

$selected_cat = 1111; // если тут прописать переменную, то выводит её значение которое тут
$deb = [];
$i = 0;
    foreach ($aTabs as $aTab) { 
        foreach ($aTab['OPTIONS'] as $key => $arOption) {
        $deb[$i]['key'] = $key;
            if ($request['apply']) {
                $deb[$i]['apply'] = 1;
                $optionValue = $request->getPost($arOption[0]);
                $deb[$i]['optionValue']  = $optionValue;
                if ($arOption[0] == 'select_cat') {
                        $deb[$i]['arOption'] = $arOption[0];
                        $deb[$i]['selected_cat_1'] = $selected_cat;
                        $selected_cat = $optionValue; //тут у вас на какой-то итерации пусто, и переменная дохнет
                        $deb[$i]['selected_cat_2'] = $selected_cat;
                        Option::set($module_id, 'qqqqq', $key );/// выводит 1
                }
                Option::set($module_id, 'sssss', $selected_cat );// выводит переменную
                if ($arOption[0] == 'start_load_product') {
                    echo  $key; // выводит 2
                    Option::set($module_id, 'qqqqq', $key );// выводит 2
                    Option::set($module_id, 'sssss', $selected_cat );// переменная пустая
                }

            }
        }
        $i++;
    }
echo '<pre>' . print_r($deb,1).'</pre>'; exit;

Во первых - вы сравниваете строки, что уже хреново.
Во вторых - в правилах выставления времени уже должны быть ограничения, например что время закрытия больше времени открытия, так же с обедом, и еще надо проверить что обед попадает между закрытием и открытием.
Ну и когда вы приведете все условия в нормальный вид можно думать о логике, которая по факту проще пареной репы... ну и $work_time по уму должно быть $work_start_time, то же самое с $dinner_time.
Если все еще не ясна логика:

$work_time = [
  'work_start_time'=>'09:30',
  'work_end_time'=>'18:20',
  'dinner_start_time'=>'13:30',
  'dinner_end_time'=>'14:00',
];
$answer = 'Closed';
$date = str_replace(':','',$work_time);
$now = date('Hi');
if( $date['work_start_time'] <= $now && $now <= $date['work_end_time'] ) $answer = 'Now we open';
if( $date['dinner_start_time'] <= $now && $now <= $date['dinner_end_time'] ) $answer = 'Now we on break';
echo $answer;

Есть код который надо запустить, перед тем как отдать страницу. Сервер Апач...
Возможно можно в htaccess правило прописать или например через index.php отдавать страницы, но они уже созданы...

В хтаксесе прописываете переадресацию всех запросов на индекс.пхп (т.н. единая точка входа, нужен модуль апача mod_rewrite), далее в индексе обрабатываете $_SERVER["REQUEST_URI"], достаете путь до хтмл файла и делаете readfile или include... Profit.