表单提交，测试时发现重复点击后，造成后台数据重复问题，到底是前端的工作，还是开发人员的工作？

前后端都得做。

后端不能相信前端，前端也应该做控制，所以应该是都有责任 /狗头

后端必须做，前端建议做。前后端连调通过再让测试验证。

都有责任。前端提交时按钮要 disabled，提交成功后要清空表单，提示成功，阻止重复提交。

后端要验证，防止出错重试或者恶意导致的重复提交，比如二次提交加验证码，比如限制两次提交的时间间隔。

后端必须做这种检查，因为你无法确定重复数据是由前端提交的，还是由攻击者提交的。

硬要分锅 我觉得是后端占 80%

就算前端只能点击一次 api 直接一秒 call >100 次呢

都要做，当然如果是赶工出来的，那就是正常。
如果是开发时间充足，两边都要做。

前端提交表单后，提交按钮变为不可点击
后端做 CSRF

前后端都要做相应处理。
只要没有事先约定。
后端要默认前端是啥也没做的
前端要默认后端是啥都不想的

我个人觉得后端再不相信前端也不做这种防错吧

重复表单如果有业务逻辑可以判断重复那后端肯定要加验证

如果没有的话,就是前端的问题啊, 点击提交按钮禁用显示加载动画 等后端处理完 再显示结果+按钮可用就好了.

后端的问题,表单重复提交这问题起码十年以上了你就不能百度学学怎么解决?

都得做，后端一定做得要更细致点。前端做可以限流

幂等性设计啊

后端需要随机 token

@tesguest123 前端需要。跳转。刷新。清空表单等

从功能上来讲当然是前端的锅，就算后端验证，用户也会看到错误提示。

我以前做前端的时候，前端数据显示有问题，老大以为前端代码有问题，后来我一查，api 返回数据的问题。

对于重复提交的问题。
1 、前端点击按钮提交后，loading 改成 true, 按钮改成 loading 状态，此时点击按钮因为判断 loading 为 true 就不执行任何操作了。
2 、后端每个 api 请求可以加个 unique request id，靠这个判断是不是重复请求。

幂等和防抖都要做的。

前后都做是最好的 但是会增加不少工作量

非要甩锅就甩前端，毕竟对后端来说这只能算是流程优化，对前端来说已经算 bug 了(因重复提交导致的数据异常除外)。。。

目前来看，互联网所见的大部分服务都是前端做限制，毕竟前端限制简单粗暴快，只要前端做好后端基本不会受到重复数据了，只有 hacker 会破解前端来重复提交，不过对 hacker 来说做这种简单后端限制意义也不大

有些框架倒是自带了后端验证，但是个人不是很喜欢

@mirrorpen #8 请问一下，传统的后端使用模版渲染 html 可以把 csrf 嵌入到页面中，这是安全的， 前后端分离的时候应该怎么处理呢，使用 api 获取 key 吗，似乎并不安全