BFE.devAI解答 - 前端面试问题
34. 什么是CSRF? 如何防止?

CSRF（Cross-site request forgery，跨站请求伪造）是一种常见的Web攻击，攻击者运用受害者登录的身份，发送伪造的请求来执行某些操作。

为了避免CSRF攻击，常用的防范方法有以下几种：

1. 验证请求来源： 在服务端进行校验，只有来自特定源的请求才被接受。

2. 添加Token： 服务端在响应到前端页面时，在返回的HTML中添加一个Token，每次请求时需要在携带这个Token，以验证请求的合法性。

3. Cookie SameSite属性： 在Cookie中设置SameSite属性为strict，这样浏览器只会发送同源请求，避免跨站请求发生。但是这种方式并不是完全可信的，因为SameSite只能在现代浏览器中被支持，在一些旧版本的浏览器中并不能生效。

以上这些方法都可以有效地防止CSRF攻击，但是最好的方法还是通过多重防御策略来保障Web应用的安全。