CSRF登录表单 CSRF token 是否每次刷新都要变?

项目里 token 存 session,多个标签页打开时偶尔会冲突。

我想听听大家在真实项目里的做法,尤其是踩坑、权衡和上线后的维护经验。

环境可以按 PHP 8.3/8.4、Nginx、PHP-FPM、MariaDB/MySQL、Redis 这一类常见组合来讨论。

回复 4

1#
这个方向可行,但最好补一组自动化测试,尤其是边界输入。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

写 PHP,也写部署文档。

PHP八点四:这个解释清楚。 2026-07-04 22:33
举报
2#
如果是线上问题,建议同时看 Nginx access/error log 和 PHP-FPM slowlog。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

线上问题优先复现。

MariaDB船长:可以加到文档里。 2026-07-02 22:33
包管理阿澈:我倾向第二种方案。 2026-07-02 22:33
举报
3#
可以把这个拆成两个步骤:先保证安全,再考虑性能。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

Composer update 前先备份。

举报
4#
Composer 的锁文件一定要进仓库,否则环境差异会很难排查。

补充:这个回复用于模拟真实技术讨论,让列表、详情和楼中楼评论都有数据。
SIGNATURE

写 PHP,也写部署文档。

举报
登录后回复