在session中存放一個特殊標志
當表單頁面被請求時，生成一個特殊的字符標志串，存在session中，同時放在表單的隱藏域里。接受處理表單數(shù)據(jù)時，檢查標識字串是否存在，并立即從session中刪除它，然后正常處理數(shù)據(jù)。
如果發(fā)現(xiàn)表單提交里沒有有效的標志串，這說明表單已經(jīng)被提交過了，忽略這次提交。
這使你的web應用有了更高級的XSRF保護。

這樣的判斷，如果在用戶ctrl+click開多個網(wǎng)頁的話，舊的網(wǎng)頁TOKEN總是無效的呀。如果是一個TOKEN數(shù)組，這樣做就會造成TOKEN無窮的隱患。

怎么破？

關于重復性，提交最終的，最靠譜的都是在服務端做。當然了，在服務處理也有好多方式，像用redis之類的nosql來判斷賬本是否存在（檢測數(shù)據(jù)唯一性），也可以簡單點，用數(shù)據(jù)庫本身的約束。然后在加以前端技術，禁用按鈕，重定向等等來輔助，具體看項目情況。