跨站请求伪造（CSRF）是一种利用用户已登录身份，在不知情下发起恶意操作的攻击。实战防御需从后端策略与前端规范双管齐下。核心防御机制是CSRF Token。服务端在渲染页面时生成唯一、随机的Token并存入用户会话，所有敏感操作（如修改密码、转账）的请求必须携带该Token。服务端校验Token是否匹配，不匹配则拒绝。Token需定期轮换，且不可通过URL传递，应置于请求头或表单隐藏域。同源检测是辅助防线。服务端校验请求的Origin或Referer头，只允许来自可信域名的请求。注意某些浏览器可能不发送Referer，需结合Token使用。重要操作应强制二次验证，如输入图形验证码或短信验证码。这能有效阻断自动化CSRF攻击。避免使用GET请求执行状态修改操作，如删除资源。所有写操作应限定为POST、PUT等安全方法。最后，为关键Cookie设置SameSite属性，限制跨站请求携带Cookie，减轻CSRF风险。防御CSRF需层层设防，不能依赖单一措施。_黑客追款不泄露