CSRF (Cross-Site Request Forgery) — это атака, при которой злоумышленник заставляет пользователя выполнить нежелательное действие на сайте, где он аутентифицирован.

Для предотвращения CSRF обычно используют:

CSRF-токены: сервер генерирует уникальный токен для каждой сессии или формы, который клиент должен отправлять с каждым запросом. Сервер проверяет токен и отклоняет запросы без валидного токена.
Проверка заголовка Origin или Referer: сервер проверяет, что запрос пришёл с доверенного домена.
Использование SameSite cookie: установка флага SameSite у cookie ограничивает отправку куки только с запросами с того же сайта.

В моём проекте мы использовали CSRF-токены, встроенные в фреймворк (например, Django или Spring Security). Токен автоматически вставлялся в формы и проверялся на сервере. Также для API с CORS мы настраивали заголовки и использовали SameSite=Lax для куки, чтобы минимизировать риск.

Как предотвращается CSRF-атака? Как вы защищались от неё в вашем проекте?