在post里发送的也就是Yii::$app->getRequest()->csrfParam 这里称csrfToken 现在根据代码大致说下生成和验证的主要思路,当然自己看代码更能细致的了解 1.从cookie或者session里取出token ,当然cookie或者session里如果没有就是初始化操作的过程了,这里初始化不是重点 2.随机产生CSRF_MASK_LENGTH(Yii2里默认是8位)长度的字符串 mask 3.对mask和token进行如下运算 str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2) 是一个先补位异或运算