HTML表单怎样使用Token防CSRF_HTML表单使用Token防CSRF步骤【教程】

3次阅读

csrf Token 必须由服务端在渲染表单前动态生成并绑定用户会话,不可复用或静态固化;应置于表单hidden字段或x-csrf-token请求头中,禁用url或localstorage传输,且需防范缓存、多标签页失效及ajax校验遗漏等问题。

HTML表单怎样使用Token防CSRF_HTML表单使用Token防CSRF步骤【教程】

CSRF Token 必须在每次请求时动态生成

静态 Token 或复用旧 Token 等同于没防。浏览器端看到的 csrf_token 值,必须由服务端在渲染表单前实时生成,并绑定当前用户会话(session)或请求上下文。

常见错误现象:403 Forbidden 或 “Invalid CSRF token” 错误反复出现,尤其在多标签页、刷新页面、后退操作后——本质是服务端校验时发现 Token 已失效或已被使用过一次(如启用了一次性 Token 模式)。

  • 使用场景:所有修改状态的非 GET 请求(POSTPUTdelete),包括登录、提交评论、转账等表单
  • 关键点:Token 不能从 URL 参数传(易泄露),也不能存在 localStorage 里(xss 可读);应放在表单 hidden 字段中,或通过 X-CSRF-Token 请求头发送(适用于 AJAX)
  • 示例(服务端模板中嵌入): 
    <input type="hidden" name="csrf_token" value="<code>{{ csrf_token }}</code>">

django/flask/express 中 Token 生成与校验逻辑差异

不同框架对 Token 的生命周期、存储方式、校验时机处理不同,直接照搬配置容易漏掉关键环节。

比如 Django 默认开启 CSRF_USE_SESSIONS=True 时,Token 存在 session 中,而设为 False 则存 cookie —— 后者需确保 SameSite=LaxStrict,否则跨站请求可能带不出 cookie。

立即学习前端免费学习笔记(深入)”;

  • Flask-WTF:依赖 generate_csrf() 函数,且必须在视图中调用并传给模板;若用 render_template 外部缓存了 html,Token 就会固化
  • Express + csurf(已废弃)或 csrf-protection:中间件必须在 body-parser 之后、路由之前挂载,否则 req.body 未解析导致校验失败
  • 参数差异:csrf-protectionignoreMethods 默认跳过 GETHEADOPTIONS,但若你自定义了 PATCH 表单,就得显式加入白名单

AJAX 请求怎么带 Token 才不被拦截

前端发 fetchXMLHttpRequest 时,Token 不会自动附在 body 里,也不像表单提交那样走默认机制,必须手动处理。

常见错误现象:接口返回 403,但表单提交正常——说明服务端 Token 校验逻辑只检查了 form-data/body,没从 header 读取 X-CSRF-Token

  • 服务端必须明确支持从 header 读取:Django 需设置 CSRF_HEADER_NAME = 'HTTP_X_CSRF_TOKEN';Express 的 csrf-protection 默认认 X-CSRF-Token
  • 前端获取方式:不要硬编码 Token 值,应从 dom 中读取 hidden 字段值,或从 meta 标签提取: 
    const token = document.querySelector('meta[name="csrf-token"]')?.getAttribute('content');
  • fetch 示例: 
    fetch('/api/like', {<br>  method: 'POST',<br>  headers: { 'X-CSRF-Token': token },<br>  body: JSON.stringify({ post_id: 123 })<br>});

Token 过期和并发请求怎么不互相干扰

一个用户开多个标签页,或快速连续提交,极易触发 Token 失效。这不是 bug,而是防重放的设计副作用,但体验上得兜住。

核心矛盾:一次性 Token(如某些银行系统)最安全,但对用户最不友好;可重用 Token(如 Django 默认)更顺滑,但需防范 Token 泄露后被重复利用。

  • 推荐做法:服务端生成 Token 时附带时间戳和随机盐,校验时只拒绝超时(如 2 小时)或明显异常(如未来时间)的 Token,不强制单次使用
  • 前端容错:监听 403 响应,自动触发一次 Token 刷新请求(/csrf-token 接口),再重发原请求——注意避免无限重试循环
  • 容易被忽略的点:nginx 或 CDN 缓存了含 Token 的 HTML 页面,导致多个用户拿到同一个 Token;务必禁止缓存含表单的响应,加 Cache-Control: no-store

发表于:数据库
近两天内
# ajax# bug# cookie# csrf# delete# django# dom# express# flask# html# html表单# nginx# session# Token# xss# 中间件# 并发# 循环# 接口
复制链接
PHP 仓储模式面试高频问题
mysql用户和账户区别_mysql账号体系说明
php foreach循环适用场景_php foreach遍历数组用法【遍历】
SQL 高可用架构的核心目标
text=ZqhQzanResources