服务端防止重复提交

csrf , 或者自己用事件 id 去重

根据 request 内容生成一个 unique key 塞到 redis，结束后删掉。接到新 request 后在 redis 里面找一下，存在就丢弃这个 request。

@leriou 跨站请求伪造 和 服务端有什么关系?

参考眼前的页面。
<input type="hidden" value="xxxxx" name="once">

@t6attack
@leriou

前端保持不变的情况下，单靠服务端来处理有什么办法么。

@utoyuri 类似生成 md5 这种么。

PRG

token

就是表单 token 啊 如果不是前后端分离的话

@wleexi 其实就是你需要能识别出来相同的请求, 做幂等处理, csrf 的原理是你每次前端的表单页面生成时候提供一个唯一的 csrf_id, 发起请求的时候这个 id 会跟着一起到达后端,标记本次请求, 如果后端发现这个 id 已经处理过一次了, 就说这次请求就是没有刷新页面情况下的重复的提交

@jugelizi
@allanzhuo

有考虑过提交完成后把信息塞到 cookie 里，下一次提交如果 cookie 里发现有就不做插入。
如果提交是异步，前一次请求每完成，接着提交了第二次。。。也不能解决这个问题

@jugelizi 那么如果前后端分离怎么防止重复提交。

@leriou 前端保持不变的情况下 这个办法不可行, 你要改表单的逻辑

@wleexi 我之前瞎写的，你可以参考下 https://www.cnblogs.com/laoyeye/p/9557269.html

@allanzhuo 之前瞎写的一点思考，可以参考下

@leriou 就是说还需要搞个地方存这个 id 对么。

@wleexi 提交表单前先请求 token，提交的时候吧 token 带着，当个参数。

@allanzhuo 意思懂，这样前端也要参与到改造中了，文章我看下，thx。

@allanzhuo 如果塞到 cookie 里不就好了 ，就是刚才说的异步那个问题，

直接把 token 放 cookie 里不就行了？