---

title: CSRF防护实践：SameSite、CSRF Token与双重提交

keywords:

• CSRF
• SameSite
• CSRF Token
• 双重提交
• Referer/Origin

description: 系统化梳理浏览器端与服务端联动的 CSRF 防护方案，结合 SameSite、令牌与双重提交策略。

categories:

• 文章资讯
• 技术教程

---

CSRF防护实践：SameSite、CSRF Token与双重提交

概览

CSRF 利用浏览器的自动凭证携带在第三方上下文发起跨站请求。防护需从 Cookie 策略、令牌校验与来源校验多层组合。

技术参数（已验证）

• SameSite：Lax/Strict/None 控制跨站请求是否携带 Cookie；None 需 Secure。
• 令牌：同步令牌（表单隐藏字段）或双重提交 Cookie（Cookie 与请求体/头同值比对）。
• 来源：优先校验 Origin，回退校验 Referer，与允许列表匹配。

实战清单

• 写操作统一校验 CSRF Token 与来源；Cookie 配置 HttpOnly/Secure/SameSite。
• 第三方嵌入与跨域场景按白名单与专用令牌策略处理。