页面做静态化后，csrf值如何获取？

等待中，显示未 loading 状态，不让用户提交表单

window.isLoadedCsrfToken = false;
function initCsrfToken(callback){
      if(isLoadedCsrfToken){
         return callback();
      }
         $.ajax({
             url:'',
             success:function(res){
                 isLoadedCsrfToken  = true;
                  callback();
             }
       })
}

initCsrfToken(()=>{
      // 页面逻辑1

});

initCsrfToken(()=>{
      // 页面逻辑2

});

ajax获取的token。。能防御啥？

查看 laravel 的路由，会有一条这样一个路由：sanctum/csrf-cookie

说下我的想法吧，csrf 不是万能的

• 所有页面维护一个 csrf，可以存到 cookie，也可以存储到 localstorage
• 每次提交后刷新 csrf 值
• 新打开的页面获取新的 csrf ，即不存在即刷新

csrf 自动识别的位置

• cookie 中的 XSRF-TOKEN
• header 中的 X-CSRF-TOKEN
• form 表单中的 _token input 文本框

详见中间件 \App\Http\Middleware\VerifyCsrfToken::class 代码

1.csrf 检查 去掉，用其他方法替代 2.form表单页面，不静态化，采用服务端渲染csrf_token

如果是apache的话可以这样，将form表单的这部分代码 使用请求php的方式，例如 <!--#include virtual="/index.php"--> 不必局限于框架

AJAX 请求事实上你页面不刷新 csrf 一直可用的，不用每次都获取，你可以放cookie

因为页面静态化了，所以解析的工作就不是php-fpm了，而是nginx直接按照文件返回，所以只能用js来处理，
当然也可以更换静态化规则，有php-fpm预处理一遍，替换掉csrf,不过这样有点本末倒置了

或者使用nginx脚本来替换文件内容再返回

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': GetCookie("XSRF-TOKEN")
    }
});

  function GetCookie(name) {
    let arr = document.cookie.match(new RegExp("(^| )" + name + "=([^;]*)(;|$)"));
    if (arr != null) return unescape(arr[2]);
    return null;
}

 由于同源原理，所有页面里面都有一个XSRF-TOKEN 提取出来放到ajax中，9.0是这么做的，6.0不清楚是否自动化了：

文档里面的：

我感觉你的瓶颈根本不是页面的问题 页面静态化的提升我感觉没多大 还不如 redis加上

你都静态化了就应该搞纯前后端分离的架构了啊, 不要用cookie做权限校验, token放header里, 就不用搞csrf了呀