在session中存放一个特殊标志
当表单页面被请求时，生成一个特殊的字符标志串，存在session中，同时放在表单的隐藏域里。接受处理表单数据时，检查标识字串是否存在，并立即从session中删除它，然后正常处理数据。
如果发现表单提交里没有有效的标志串，这说明表单已经被提交过了，忽略这次提交。
这使你的web应用有了更高级的XSRF保护。

这样的判断，如果在用户ctrl+click开多个网页的话，旧的网页TOKEN总是无效的呀。如果是一个TOKEN数组，这样做就会造成TOKEN无穷的隐患。

怎么破？

关于重复性，提交最终的，最靠谱的都是在服务端做。当然了，在服务处理也有好多方式，像用redis之类的nosql来判断账本是否存在（检测数据唯一性），也可以简单点，用数据库本身的约束。然后在加以前端技术，禁用按钮，重定向等等来辅助，具体看项目情况。