csrf token 必须由服务端在渲染表单前动态生成并绑定用户会话,不可复用或静态固化;应置于表单hidden字段或x-csrf-token请求头中,禁用url或localstorage传输,且需防范缓存、多标签页失效及ajax校验遗漏等问题。
CSRF Token 必须在每次请求时动态生成
静态 Token 或复用旧 Token 等同于没防。浏览器端看到的 csrf_token 值,必须由服务端在渲染表单前实时生成,并绑定当前用户会话(session)或请求上下文。
常见错误现象:403 Forbidden 或 “Invalid CSRF token” 错误反复出现,尤其在多标签页、刷新页面、后退操作后——本质是服务端校验时发现 Token 已失效或已被使用过一次(如启用了一次性 Token 模式)。
- 使用场景:所有修改状态的非 GET 请求(
POST、PUT、DELETE),包括登录、提交评论、转账等表单 - 关键点:Token 不能从 URL 参数传(易泄露),也不能存在 localStorage 里(XSS 可读);应放在表单 hidden 字段中,或通过
X-CSRF-Token请求头发送(适用于 AJAX) - 示例(服务端模板中嵌入):
<input type="hidden" name="csrf_token" value="<code>{{ csrf_token }}</code>">
Django/Flask/Express 中 Token 生成与校验逻辑差异
不同框架对 Token 的生命周期、存储方式、校验时机处理不同,直接照搬配置容易漏掉关键环节。
比如 Django 默认开启 CSRF_USE_SESSIONS=True 时,Token 存在 session 中,而设为 False 则存 cookie —— 后者需确保 SameSite=Lax 或 Strict,否则跨站请求可能带不出 cookie。
立即学习“前端免费学习笔记(深入)”;
- Flask-WTF:依赖
generate_csrf()函数,且必须在视图中调用并传给模板;若用render_template外部缓存了 HTML,Token 就会固化 - Express + csurf(已废弃)或 csrf-protection:中间件必须在
body-parser之后、路由之前挂载,否则req.body未解析导致校验失败 - 参数差异:
csrf-protection的ignoreMethods默认跳过GET、HEAD、OPTIONS,但若你自定义了PATCH表单,就得显式加入白名单
AJAX 请求怎么带 Token 才不被拦截
前端发 fetch 或 XMLHttpRequest 时,Token 不会自动附在 body 里,也不像表单提交那样走默认机制,必须手动处理。
常见错误现象:接口返回 403,但表单提交正常——说明服务端 Token 校验逻辑只检查了 form-data/body,没从 header 读取 X-CSRF-Token。
- 服务端必须明确支持从 header 读取:Django 需设置
CSRF_HEADER_NAME = 'HTTP_X_CSRF_TOKEN';Express 的csrf-protection默认认X-CSRF-Token - 前端获取方式:不要硬编码 Token 值,应从 DOM 中读取 hidden 字段值,或从 meta 标签提取:
const token = document.querySelector('meta[name="csrf-token"]')?.getAttribute('content'); - fetch 示例:
fetch('/api/like', {<br> method: 'POST',<br> headers: { 'X-CSRF-Token': token },<br> body: JSON.stringify({ post_id: 123 })<br>});
Token 过期和并发请求怎么不互相干扰
一个用户开多个标签页,或快速连续提交,极易触发 Token 失效。这不是 bug,而是防重放的设计副作用,但体验上得兜住。
核心矛盾:一次性 Token(如某些银行系统)最安全,但对用户最不友好;可重用 Token(如 Django 默认)更顺滑,但需防范 Token 泄露后被重复利用。
- 推荐做法:服务端生成 Token 时附带时间戳和随机盐,校验时只拒绝超时(如 2 小时)或明显异常(如未来时间)的 Token,不强制单次使用
- 前端容错:监听
403响应,自动触发一次 Token 刷新请求(/csrf-token接口),再重发原请求——注意避免无限重试循环 - 容易被忽略的点:Nginx 或 CDN 缓存了含 Token 的 HTML 页面,导致多个用户拿到同一个 Token;务必禁止缓存含表单的响应,加
Cache-Control: no-store
