CSRF token mismatch 错误由令牌丢失、过期或不匹配引起，需确保表单包含 @csrf、AJAX 请求携带 X-CSRF-TOKEN 头、session 正常工作且路由正确配置中间件。

CSRF token mismatch 错误在 Laravel 中很常见，通常出现在表单提交或 AJAX 请求时。这个错误表示服务器验证请求中的 CSRF 令牌失败，可能是丢失、过期或不匹配。下面是一些常见原因和对应的解决方法。

检查表单中是否包含 CSRF 字段

在 Blade 模板中提交表单时，必须包含 CSRF 隐藏字段：

@csrf 会生成一个名为 _token 的隐藏输入框。如果漏掉这行，Laravel 就会拒绝请求。

处理 AJAX 请求的 CSRF 令牌

使用 AJAX 提交数据时，需手动携带 CSRF 令牌。推荐做法是将令牌放在 meta 标签中：

然后在 JavaScript 中读取并设置到请求头：

这样所有 jQuery AJAX 请求都会自动带上令牌。如果是原生 fetch 或 axios，也要手动添加该头部。

确认 Session 是否正常工作

CSRF 令牌依赖于 Session 存储。如果用户没有有效的 session（比如跨域、无 cookie、或 session 配置错误），就会导致 token 不匹配。

检查点包括：

• 确保浏览器允许 cookies，且域名与配置一致
• 查看 .env 文件中的 SESSION_DOMAIN 和 SESSION_SECURE_COOKIE 设置是否正确
• 如果是 API 请求，考虑使用 Sanctum 或 Passport 认证代替 web 中间件

避免在中间件中误排除路由

如果你把某些路由放到了 api 中间件组，默认情况下它们不检查 CSRF（因为预期是无状态的）。但若你通过网页表单提交到 api 路由，就会出错。

两种选择：

• 将需要 CSRF 保护的路由移到 web 中间件组
• 或者在 api 路由中手动添加 VerifyCsrfToken 中间件（不推荐，容易出问题）

检查多标签页或长时间未操作的情况

用户长时间停留在页面后提交，session 可能已过期，而页面上的 token 仍是旧的。刷新页面可以解决。

建议前端增加检测机制：捕获 419 响应（Laravel 的 CSRF 失败状态码），提示用户重新加载页面。

基本上就这些。只要确保 token 正确传递、session 正常维持、路由中间件合理配置，这类问题就能有效避免。