CSRF token mismatch 错误由令牌丢失、过期或不匹配引起,需确保表单包含 @csrf、AJAX 请求携带 X-CSRF-TOKEN 头、session 正常工作且路由正确配置中间件。
CSRF token mismatch 错误在 Laravel 中很常见,通常出现在表单提交或 AJAX 请求时。这个错误表示服务器验证请求中的 CSRF 令牌失败,可能是丢失、过期或不匹配。下面是一些常见原因和对应的解决方法。
检查表单中是否包含 CSRF 字段
在 Blade 模板中提交表单时,必须包含 CSRF 隐藏字段:
@csrf 会生成一个名为 _token 的隐藏输入框。如果漏掉这行,Laravel 就会拒绝请求。
处理 AJAX 请求的 CSRF 令牌
使用 AJAX 提交数据时,需手动携带 CSRF 令牌。推荐做法是将令牌放在 meta 标签中:
然后在 JavaScript 中读取并设置到请求头:
$.ajaxSetup({headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
这样所有 jQuery AJAX 请求都会自动带上令牌。如果是原生 fetch 或 axios,也要手动添加该头部。
确认 Session 是否正常工作
CSRF 令牌依赖于 Session 存储。如果用户没有有效的 session(比如跨域、无 cookie、或 session 配置错误),就会导致 token 不匹配。
检查点包括:
- 确保浏览器允许 cookies,且域名与配置一致
- 查看 .env 文件中的 SESSION_DOMAIN 和 SESSION_SECURE_COOKIE 设置是否正确
- 如果是 API 请求,考虑使用 Sanctum 或 Passport 认证代替 web 中间件
避免在中间件中误排除路由
如果你把某些路由放到了 api 中间件组,默认情况下它们不检查 CSRF(因为预期是无状态的)。但若你通过网页表单提交到 api 路由,就会出错。
两种选择:
- 将需要 CSRF 保护的路由移到 web 中间件组
- 或者在 api 路由中手动添加 VerifyCsrfToken 中间件(不推荐,容易出问题)
检查多标签页或长时间未操作的情况
用户长时间停留在页面后提交,session 可能已过期,而页面上的 token 仍是旧的。刷新页面可以解决。
建议前端增加检测机制:捕获 419 响应(Laravel 的 CSRF 失败状态码),提示用户重新加载页面。
基本上就这些。只要确保 token 正确传递、session 正常维持、路由中间件合理配置,这类问题就能有效避免。
