跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种常见的网络攻击方式，攻击者利用用户在已登录的网站上的身份验证信息，向其他网站发送恶意请求。为了防御CSRF攻击，以下是一些常见的防御方法： 1. 验证来源站点（Referer验证）：服务端可以通过检查HTTP请求头中的Referer字段来确保请求来自合法的站点。然而，这种方法并不可靠，因为有些浏览器或代理服务器可能会篡改Referer字段或者不发送该字段。 2. 使用Token验证：服务端可以在用户登录时生成一个随机的Token，并将其存储在用户的会话中或者嵌入到表单中。每次用户提交请求时，都需要同时提交Token并进行验证。这样即使攻击者获取到了用户的Cookie，也无法获得有效的Token，从而无法成功发起CSRF攻击。 3. 添加验证码：在一些敏感的操作上，可以要求用户输入验证码进行二次验证。这样即使攻击者能够伪造请求，但是由于没有正确的验证码，请求也会被拒绝。 4. 添加随机请求参数：在每个请求中添加一个随机的参数，并在服务端进行验证。这样即使攻击者能够伪造请求，但是由于没有合法的随机参数，请求也会被拒绝。 5. 限制请求方法：将敏感的操作限制为POST方法，并在服务端进行验证。因为GET请求往往是可以通过链接触发的，容易受到CSRF攻击。 6. 使用SameSite属性：设置Cookie的SameSite属性为Strict或者Lax，可以限制跨站点的Cookie传递，从而减少CSRF攻击的风险。 7. 定期更改Token：定期更改用户的Token，即使攻击者获取到了旧的Token，也会因为验证失败而无法成功攻击。 需要注意的是，以上防御策略并非完全可靠，攻击者不断改进技术，因此建议综合使用多种方法来提高防御效果。此外，开发人员在编写代码时要注意安全性，在关键操作上进行严格的权限控制和验证，以减少被攻击的可能性。