Несколько способов защитить веб-приложения от атак типа CSRF:

• Использовать CSRF-токены. 1 Они генерируются сервером и встраиваются в каждую форму, которая отправляет данные на сервер. 1 Когда пользователь отправляет форму, токен передаётся вместе с данными запроса. 1 Сервер проверяет токен на соответствие значению, сохранённому в сеансе пользователя. 1 Если токен не совпадает, запрос отклоняется. 1
• Проверять заголовки Origin и Referer. 1 Когда браузер отправляет запрос, эти заголовки указывают, с какого сайта был инициирован запрос. 1 Сервер может использовать эту информацию для проверки того, что запросы поступают с доверенных доменов. 1 Если заголовки не соответствуют ожидаемым значениям, сервер может отклонить запрос. 1
• Ограничить методы HTTP. 1 Веб-приложения должны минимизировать использование методов HTTP, которые могут изменять состояние сервера, таких как POST, PUT, DELETE и PATCH. 1 Для операций, которые не изменяют данные, следует использовать методы GET и HEAD. 1
• Использовать атрибут SameSite для куки. 1 Установка этого атрибута для куки-сессии снижает риск успешной CSRF-атаки, так как браузер не будет отправлять куки при запросах, которые инициированы с других сайтов. 1
• Внедрить двухфакторную аутентификацию (2FA). 1 Этот метод добавляет дополнительный уровень защиты, требуя от пользователя подтверждения действий через второй канал, например, с помощью SMS или приложения-аутентификатора. 1
• Проводить регулярные обновления и мониторинг. 1 Злоумышленники могут использовать уязвимости в программном обеспечении, поэтому важно своевременно устанавливать патчи и обновления. 1 Также рекомендуется проводить регулярные аудиты безопасности и мониторинг активности на сайте, чтобы выявлять и реагировать на подозрительные действия. 1

Некоторые фреймворки имеют встроенную защиту от CSRF-атак, например .NET или Laravel. 3