什么是CSRF攻擊？
CSRF（Cross-Site Request Forgery）攻擊，又稱(chēng)跨站請求偽造攻擊，是指攻擊者通過(guò)某些手段，讓受害者在不知情的情況下，執行一些惡意操作或者訪(fǎng)問(wèn)一些私密數據，比如轉賬操作、修改密碼等。網(wǎng)站建設中這種攻擊方式屬于代碼注入的范疇，一旦攻擊成功，對網(wǎng)站的破壞將是致命的。

網(wǎng)站建設如何防止CSRF攻擊？
網(wǎng)站建設要想防止CSRF攻擊，需要做以下幾個(gè)方面的工作：

1.使用 Token 驗證
Token 驗證是一種常見(jiàn)的 CSRF 攻擊防御機制，其原理是在進(jìn)行敏感操作時(shí)，向表單添加一個(gè)唯一的 Token，客戶(hù)端的請求必須攜帶這個(gè) Token 才能被服務(wù)器接受。這樣，攻擊者就無(wú)法偽造請求，因為他不知道服務(wù)器生成的 Token 是什么。

2.設置 SameSite 屬性
SameSite 屬性是指使瀏覽器限制第三方 Cookie，防止跨站點(diǎn)對話(huà)以及 CSRF 攻擊。它有三個(gè)取值：Strict，Lax 和 None。其中，Strict 模式只允許瀏覽器發(fā)送同站點(diǎn)的 Cookie，而 Lax 模式對一些非敏感操作發(fā)送的請求可以接受第三方 Cookie，None 則允許所有請求接受第三方 Cookie。

3.檢查 Referer 頭
Referer 頭是瀏覽器自動(dòng)添加的請求頭之一，其作用是記錄當前請求的來(lái)源網(wǎng)址。因此，服務(wù)器可以對比請求的 Referer 頭與預期值是否相同，如果不相同，則可視為 CSRF 攻擊。

CSRF 攻擊是一種常見(jiàn)的安全威脅，但我們可以利用一些常見(jiàn)的防御機制措施來(lái)避免它。尤其是 Token 驗證和 SameSite 屬性，這兩種方法已經(jīng)成為了 Web 開(kāi)發(fā)的重要標配。