Редирект после POST запроса

IT-стандарты*

Каждый веб-разработчик знает, что после POST сабмита формы желательно сделать редирект, чтобы предотвратить повторную отправку данных, когда пользователь захочет обновить страницу. В основном это критически необходимая операция, так как данные формы могут сохраняться в базе данных или участвовать в платёжной транзакции. И тогда данные не только продублируются, но и спишутся лишние деньги.

Но речь не о деньгах, а о правильном редиректе…

Практически все веб-приложения при редиректе POST запроса возвращают статус 302 Found. Например, в php редирект делают так: header('Location: /new/location');. Без дополнительных параметров или если отдельно не указан другой статус, функция вернёт именно 302 Found.

Теперь обратимся в официальным документам. В RFC 2616 сказано следующее:
If the 302 status code is received in response to a request other than GET or HEAD, the user agent MUST NOT automatically redirect the request unless it can be confirmed by the user, since this might change the conditions under which the request was issued.

Если статус 302 получен в ответ на запрос отличный от GET или HEAD, юзер-агент НЕ ДОЛЖЕН автоматически редиректить запрос до тех пор, пока он не будет подтверждён пользователем, так как это может нарушить условия запроса.

Там же в заметках написано, что несмотря на это, многие юзер-агенты пренебрегают этим правилом и интерпретируют 302 статус как 303. А пошло это ещё со времён HTTP/1.0, в котором 303 статуса ещё не было.

Т.е. для редиректа POST запроса нужно использовать статус 303 See Other, который специально для этого и предназначен. В php редирект будет выглядеть, например, так: header('Location: /new/location', true, 303);

В RFC в заметке к статусу 303 написано:
Many pre-HTTP/1.1 user agents do not understand the 303 status. When interoperability with such clients is a concern, the 302 status code may be used instead, since most user agents react to a 302 response as described here for 303

Многие пре-HTTP/1.1 юзер-агенты не понимают 303 статус. Если совместимость с такими клиентами важна, то вместо него можно использовать 302 статус, так как большинство таких агентов реагируют на 302 статус также как на 303.

И получается два варианта:
1. По прежнему использовать 302;
a. есть вероятность нарваться на юзер-агента, который чтит спецификацию и выдаст предупрежление.
б. так как такое поведение не стандартно, можно нарваться на вообще непредсказуемый результат.

2. Использовать 303, тогда старые клиенты не поймут, что от них хотят.

Во втором случае, можно анализировать версию протокола, запрошенную клиентом, и выдавать 302 для старых клиентов. В теле ответа писать ссылку на новый УРЛ. Тогда пользователь старого агента, сможет хотя бы кликнуть на ссылку.

+70

3 марта 2010, 21:28

103

claustrofob 23,7

комментарии (78)

–21

n3m0 3 марта 2010, 21:45 #

Интересную конечно тему подняли. Теперь стоит думать, что и где применять

+18

le0pard 3 марта 2010, 21:48 #

>>есть вероятность нарваться на юзер-агента, который чтит спецификацию и выдаст предупрежление.

Пока про такой юзер-агент не слышал. Как появится — будем решать проблему :)

claustrofob 3 марта 2010, 21:51 # ↑

Я тоже. Но есть вероятность, что они появятся, например, среди мобильных приложений. В любом случае, лучше быть в курсе=)

+10

GarretUA 3 марта 2010, 22:05 # ↑

Да никто не будет делать такое. Везде нормально редиректится, а в новом продукте не будет? Кто после этого будет его использовать? :)

khizhaster 3 марта 2010, 22:00 # ↑

А так же (к автору поста):
> Использовать 303, тогда старые клиенты не поймут, что от них хотят.
это какие, например?

claustrofob 3 марта 2010, 22:06 # ↑

Например:
Opera младше 4.0,
Internet Explorer младше 4.0

Может для кого-то критична поддержка и этих браузеров=)

StrangeAttractor 4 марта 2010, 04:17 # ↑

В таком случае, при всей моей романтической любви к PC-антиквариату, «следовать стандарту и использовать 303 или заботиться о совместимости со старыми клиентами и использовать 302?» кажется мне вопросом из компетенции капитана Очевидность.

zhekanax 4 марта 2010, 12:58 # ↑

Например, Zend_Http_Client из ZF с включенной опцией strict_redirects, которая, кстати говоря, по умолчанию выключена.

–5

youROCK 3 марта 2010, 22:13 #

Мне кажется лишним выносить подобную логику в PHP (или любой другой серверный язык), выдачей «правильного» кода должен заниматься веб-сервер, когда увидит заголовок Location, если это действительно может на что-то повлиять (поскольку Apache отправляет 302, вероятно, это-таки ни на что не влияет :)). Так-то!

barker 3 марта 2010, 22:58 # ↑

Ну прям уж) Не должен сервер это делать, вы что. Что значит «правильный код»? Это должно приложение решать — какой код возврата «правильный», это прикладное понятие, а не протокольное.

w999d 3 марта 2010, 22:28 #

Ради такого случая почистил свою функцию редиректа

function redirect($url, $html = '', $title = 'Переадресация'){
	header($_SERVER['SERVER_PROTOCOL']." 303 See Other");
	header("Location: ".$url);
	header("Content-type: text/html; charset=UTF-8");
	$hUrl = htmlspecialchars($url);
	echo <<<PAGE
<!DOCTYPE html><title>{$title}</title>
<script type="text/javascript">function doRedirect(){location.replace({$hUrl});}</script>
<style type="text/css">p{font-family:Arial, sans-serif}</style>
<body onload="doRedirect()" bgcolor="#ffffff" text="#000000" link="#0000cc" vlink="#551a8b" alink="#ff0000">
<noscript><meta http-equiv="refresh" content="{$wait}; url='{$hUrl}'"></noscript>
<p>Подождите...</p>
<p>Если переадресация не сработала, перейдите по <a href="{$hUrl}">ссылке</a> вручную.</p>
{$html}
</body>
PAGE;
	die();
}

w999d 3 марта 2010, 22:30 # ↑

все-таки пропустил кое-что:
$wait = 0

НЛО прилетело и опубликовало эту надпись здесь

zhekanax 4 марта 2010, 13:02 # ↑

Не думаю что return будет корректным. В фреймворках обычно бросается некий Redirect_Exception, который обрабатывается контроллером (корректно завершается работа). А если контроллера, как такового, нет то die() или exit именно то что нужно.

НЛО прилетело и опубликовало эту надпись здесь

zhekanax 4 марта 2010, 16:59 # ↑

Ох, озадачили. Фреймворк это набор компонентов, с уже решенными типичными (и не очень) задачами а также облегчающие и ускоряющие разработку. Например ZF, Symfony

Или это шутка? )

claustrofob 4 марта 2010, 17:02 # ↑

это тролль

НЛО прилетело и опубликовало эту надпись здесь

zhekanax 4 марта 2010, 17:14 # ↑

табличку надо было по-больше

НЛО прилетело и опубликовало эту надпись здесь

Setti 3 марта 2010, 23:27 # ↑

это для чувства глубокого удовлетворения ;)

w999d 3 марта 2010, 23:31 # ↑

этот html-код практически такой же, как у гугла — у меня это сделано именно «для чувства глубокого удовлетворения ;)»

w999d 3 марта 2010, 23:33 # ↑

а, да, вспомнил — я долго удивлялся, почему гугл умудряется пересылать меня в почту с выключенными редиректами — поэтому залез посмотреть и сделал примерно так же.

homm 4 марта 2010, 08:06 # ↑

В Опере можно отключить редиректы и я часто это делаю для отладки.

НЛО прилетело и опубликовало эту надпись здесь

egorinsk 4 марта 2010, 03:22 # ↑

Яваскрипт мерзкий убрали бы…

kolpeex 4 марта 2010, 06:54 # ↑

Тогда уж было бы правильным ввести условие для header($_SERVER['SERVER_PROTOCOL']." 303 See Other").
Чтобы при $_SERVER['SERVER_PROTOCOL']=='HTTP/1.0' возвращался 302-й код.

–5

IGlukhov 3 марта 2010, 22:48 #

Неужели так сложно сделать защиту от повторного постинга без редиректа?
Всё же не для этого ИМХО редиректы придуманы.

FuN_ViT 3 марта 2010, 22:53 # ↑

да легко. например в форму внедряется скрытый ключ…

w999d 3 марта 2010, 22:55 # ↑

> Неужели так сложно сделать защиту от повторного постинга без редиректа?
от дублирования информации — можно, от повторной отправки формы по F5 — нет (кроме ajax).
помимо этого иногда требуется отправить клиента на совершенно другую страницу.

> Всё же не для этого ИМХО редиректы придуманы.
цитата из RFC: «This method exists primarily to allow the output of a POST-activated script to redirect the user agent to a selected resource.»

IGlukhov 3 марта 2010, 23:05 # ↑

Да, про 303 конечно соглашусь — ваша правда.

Хотя мне как-то ближе способ с дополнительным уникальным скрытым полем — он ко всему прочему от ботов защищает.

w999d 3 марта 2010, 23:10 # ↑

они хорошо друг друга дополняют — иногда пользователи успевают несколько раз отправить форму (кликая по кнопке в ожидании), еще не дойдя до редиректа.

claustrofob 3 марта 2010, 23:13 # ↑

ещё помогает задизэблить кнопку после нажатия

w999d 3 марта 2010, 23:16 # ↑

если яваскрипт включен, конечно же

–1

simonoff 4 марта 2010, 10:07 # ↑

а сейчас это такая большая редкость?

kost 4 марта 2010, 13:05 # ↑

Если потом вернуться кнопкой «Back», то кнопка окажется заблокированной, и придется перезагружать страницу, чтобы ее разблокировать.

НЛО прилетело и опубликовало эту надпись здесь

IGlukhov 3 марта 2010, 23:17 # ↑

Да, вы совершенно правы — это ещё один аргумент чтобы отказаться от редиректа в пользу скрытого поля :)

w999d 3 марта 2010, 23:20 # ↑

скрытое поле не может отправить пользователя на другую страницу, в этом смысле они бесполезны.

IGlukhov 3 марта 2010, 23:22 # ↑

Совершенно верно. Но в топике шла речь именно о повторной отправке данных.

w999d 3 марта 2010, 23:37 # ↑

Речь шла о редиректе, повторная отправка была в качестве примера для вступления:
«Но речь не о деньгах, а о правильном редиректе…»

radist2s 3 марта 2010, 23:33 # ↑

Ну, а откуда возьмется скрытое, сразу поле после того, как юзер сабмитил форму, если страница еще не успела загрузиться снова?

IGlukhov 3 марта 2010, 23:38 # ↑

Скрытое поле генерится *до* сабмита формы и передаётся вместе с ней.
Если сервер видит что такое значение ему уже передавали — даёт отлуп.

radist2s 3 марта 2010, 23:45 # ↑

Я имел ввиду вот этот момент:
>иногда пользователи успевают несколько раз отправить форму (кликая по кнопке в ожидании)
То есть если по вашему, то все равно нужно генерить яваскриптом либо новое значение для хайдена, либо дисэблить кнопку.
Однако, редирект — это более кошерно.

IGlukhov 3 марта 2010, 23:52 # ↑

Значение генерится не на клиенте, а на сервере. Второй раз ничего генерить как раз не нужно — мы эту форму второй раз принимать не хотим.

radist2s 3 марта 2010, 23:55 # ↑

Черт, даже стыдно, что для меня пришлось разжевывать, но буду убеждать себя, что это все из-за сложного дня, а не из-за того, что тупею.

zhekanax 4 марта 2010, 13:07 # ↑

В том-то и дело что не хотим, и обязательно скажем об этом пользователю выведя ошибку вместо красивой странички с успешной регистрацией :)

sovnarkom 3 марта 2010, 23:41 # ↑

оно там было с самого начала, с произвольным значением — если запросы приходят с одинаковыми значениями — нужно игнорировать все, кроме первого.

IGlukhov 3 марта 2010, 23:46 # ↑

Второй вариант — брать не произвольные, а известные значения для этого поля, чтобы сервер знал, какую форму он сгенерил, а какую — чужой дядя.

CawaSPb 4 марта 2010, 00:33 # ↑

Отказываться от редиректа все-таки не надо.
С редиректом для пользователя сохраняется возможность свободно гулять по истории без предупреждений броузера «сейчас вы повторно отправите какие-то данные».

Т.е. использовать POST запросы только как setter'ы (что-то меняющие на стороне сервера, но ничего не отображающие), а GET — как getter'ы (только отображающие, но никогда не меняющие ничего на стороне сервера) — идеологически правильно.

Более того, если мы переходим по какому-то специальному урлу (линк с картинкой кнопки) и при этом что-то меняется в даных на стороне сервера, правильно и после этого сделать редирект.

nekt 4 марта 2010, 06:28 # ↑

Согласен. crud далеко не худший способ организации веб-приложения.

claustrofob 3 марта 2010, 23:27 # ↑

для бота не проблема запросить форму с уникальным скрытым полем перед отправкой. это скорее защита от CSRF.

IGlukhov 3 марта 2010, 23:30 # ↑

Это если он не совсем тупой.
А большинство ботов (по крайней мере те, которые мне пытаются досаждать) — совсем тупые.

Methos 4 марта 2010, 11:56 # ↑

Отправлять форму ajax-запросом, если включен js.

gag_fenix 3 марта 2010, 23:06 #

Если автор поста проведет тестирование различных браузеров в такой ситуации, мы ему будем очень благодарны. Может быть все браузеры корректно себя ведут?

claustrofob 3 марта 2010, 23:12 # ↑

Не понял вопроса. Что значит «все браузеры корректно себя ведут»? Все браузеры, поддерживающие HTTP/1.1 понимают 303 статус. И все популярные браузеры интерпретируют 302 статус как 303.

Gero 3 марта 2010, 23:13 # ↑

Совершенно верно, все браузеры не являющиеся музейными экспонатами, ведут себя корректно. Я думаю, это вопрос скорее академического характера.

claustrofob 3 марта 2010, 23:15 # ↑

скорее все браузеры ведут себя некорректно)

–1

track13 3 марта 2010, 23:54 # ↑

если есть спецификация, которая всеми выполняется как-то по другому, то наверное в спеке ошибка, а не в реализациях.

–1

Ueasley 3 марта 2010, 23:17 #

Есть какая практическая польза?

homm 4 марта 2010, 08:11 # ↑

Через 10 лет ваше приложение продолжит работать правильно, в то время как у других бразуер будет спрашивать пользователя при переходе.

andoriyu 4 марта 2010, 10:59 # ↑

заметил, что в последнем сафари все чаще приходится тыкать на кнопку «если вас не перебросило автоматически тыкните сюда»… это оно? уже началось?

–1

alice2k 3 марта 2010, 23:43 #

Мне кажется, что правильнее сделать так: в пост запросах на выполнение каких-то значительных действий(списание средств/ удаление данных / итд) должен присутствовать уникальный номер запроса и все последующие запросы с этим номером не должны выполнятся.

claustrofob 3 марта 2010, 23:45 # ↑

это факт. потому что запостить повторно форму можно и умышленно.

P_r_i_m_a_t 4 марта 2010, 00:26 #

Напомнило последний эпизод The Big Bang Theory:

— Undoubtedly another snide response to my repeated letters complaining that the flags in front of the courthouse are flying in the wrong order. From left to right, it's supposed to be federal, state, and then city of Pasadena.

— I'm sorry. You sent more than one letter about that?

— It bothers me.

Boiler 4 марта 2010, 00:47 #

Врядли кто-то сейчас использует настолько старый клиент, который не поддерживает HTTP/1.0
Большинство сайтов хостятся на виртуальных хостингах, где без HOST заголовка не попадешь на нужный сайт.

Boiler 4 марта 2010, 00:47 # ↑

тьфу…
* который не поддерживает HTTP/1.1

bondbig 4 марта 2010, 07:12 # ↑

>Врядли кто-то сейчас использует настолько старый клиент, который не поддерживает HTTP/1.0
Если твои запросы в мир идут через squid, скажем, то они будут именно http/1.0. А таких ой как немало.

symbix 4 марта 2010, 03:11 #

например, так: header('Location: /new/location', true, 303);

Например, не так. URL в Location должен быть абсолютным:

The field value consists of a single absolute URI.

Location = «Location» ":" absoluteURI

RFC 2616, п.14.30.

claustrofob 4 марта 2010, 03:23 # ↑

И правда:) Несмотря на то, что все браузеры поддерживают относительные URL'ы, по стандарту он должен быть абсолютным.

symbix 4 марта 2010, 06:26 # ↑

302 тоже все браузеры поддерживают.

уж если педантствовать — то во всем! ;)

кстати, если предположить, что некий сферический браузер в вакууме реализован строго по букве стандарта, то 302 не так страшно как относительный адрес.

–1

symbix 4 марта 2010, 06:33 # ↑

есть еще одна проблема, на сей раз уже практическая.

ныне совершенно типична конфигурация сервера, когда фронтендом стоит nginx, проксирующий динамику на апач. Так вот проксирование делается по http/1.0; ответ http/1.1 будет просто некорректен (и может иметь крайне негативные последствия в виде отдачи chunked transfer encoding nginx-у, сделавшему запрос по 1.0 и этого никак не ожидающему); a http/1.0 303 формально некорректен, что будет практически — надо проверять.

w999d 4 марта 2010, 08:53 # ↑

на практике nginx понимает заголовок Host:, которого тоже нет в http/1.0

symbix 4 марта 2010, 21:09 # ↑

И прекрасно понимает http/1.1, пока это не касается работы с бэкендом.

Кстати host в 1.0 никаким образом не запрещается, в 1.1 же он просто обязателен

Snick 4 марта 2010, 03:51 #

Хороший пример рака мозга, причем, заразного.

Итак, в вебе миллионы серверов с миллионами приложений, которые написаны с использованием 302. Старые клиенты, которые не знали про 303 постепенно отмирают, но приложения на серверах остаются и по-прежнему используют 302 вместо 303. И будут, потому что это вошло в образование веб-программистов и впитано с исходниками примеров из книжек.

Разработчики стандарта поступили не очень мудро. Нужно было быть ближе к народу и наделить 302 именно тем смыслом, который в него вкладывают те, кто его использует. А «старый 302» переименовать в 303-й =)

И все дела =)

–1

ProtoPlex 4 марта 2010, 08:46 #

Не надо париться по этому поводу :) Направление уже задано, и переделывать кучу софта смысла нет

funca 4 марта 2010, 10:48 #

задумывался об этом, читая rfc. но пришел к выводу, что фактически это бесполезная хрень. все клиенты понимают 302 и автоматически редиректят, поэтому инсинуации в rfc про 303 ни кого не волнуют. :)

«проблему» стоило бы порешать лишь в одном случае — если бы браузеры действительно запрашивали потдветждение юзера при 302 редиректе. но этого нет и никогда не будет, потому, что так устроен современный интернет. :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.