laravel表单必须包含@csrf指令以输出隐藏令牌字段,否则触发419错误;该机制由verifycsrftoken中间件强制执行,依赖有效session,且仅适用于web路由组。
Laravel 表单必须带 CSRF 令牌,否则提交会直接返回 419 Page Expired 错误 —— 这不是配置问题,是框架默认强制保护机制。
为什么 @csrf 不是可选项
Laravel 默认启用中间件 VerifyCsrfToken,它会拦截所有非 GET/HEAD/OPTIONS 请求,并比对请求中携带的 _token 值与 session 中存储的令牌是否一致。没传、传错、过期,都会被拒绝。
-
@csrf本质是输出一个隐藏字段:<input type="hidden" name="_token" value="xxx"> - 它依赖当前用户 session 已启动(即已执行
session_start()或经过StartSession中间件) - 在 API 路由中默认不启用 CSRF 验证(因为无 session),所以
@csrf在api中间件组下无效且没必要
@csrf 必须放在表单内部,且不能重复
多个 @csrf 指令不会报错,但只取第一个生效;如果写在 <form></form> 外面,浏览器不会把它作为表单数据提交,后端收不到 _token,必然 419。
- ✅ 正确写法:
<form method="POST" action="/users"><br> @csrf<br> <input name="name"><br></form>
- ❌ 错误写法:
<div>@csrf</div><form>...</form>
或<form>@method('PUT') @csrf @csrf</form> - 注意:
@method和@csrf是独立指令,顺序无关,但都必须在<form></form>标签内
手动插入 _token 的场景和风险
某些情况(比如 JS 动态提交、AJAX)无法用 @csrf,需手动提取令牌值。常见做法是从 meta 标签读取:
<meta name="csrf-token" content="{{ csrf_token() }}">
然后在 JS 中设置请求头:
- AJAX 全局设置(推荐):
$.ajaxSetup({<br> headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }<br>}); - 单独请求时传 header 或 data:
data: { _token: $('meta[name="csrf-token"]').attr('content') } - ⚠️ 风险:不要把
csrf_token()直接塞进 URL 查询参数(如?_token=xxx),容易被日志、代理、Referer 泄露 - ⚠️ 注意:该 meta 标签必须出现在页面
中,且不能被 JS 删除或覆盖
令牌失效的典型原因和排查点
即使写了 @csrf,仍出现 419,大概率不是指令问题,而是环境或流程异常:
- 用户 session 过期或未生成(例如未登录却访问需要 session 的表单页)
- 浏览器禁用了 Cookie,导致 session_id 无法持久化
- 使用了无状态中间件(如
api组)但错误地启用了VerifyCsrfToken - 服务器时间偏差过大(Laravel 令牌含时间戳,验证时容忍窗口默认 120 分钟,但严重偏差仍可能触发)
- 负载均衡下 session 未共享,导致 token 生成和验证落在不同机器上
最快速验证方式:打开开发者工具 → Network → 看表单提交的 Request Payload 是否含 _token 字段,再比对页面源码中 @csrf 输出的 value 是否与 session 中一致(可通过 dd(session('_token')) 查看)。
