CSRF防护实践：SameSite、CSRF Token与双重提交

概览

CSRF 利用浏览器的自动凭证携带在第三方上下文发起跨站请求。防护需从 Cookie 策略、令牌校验与来源校验多层组合。

技术参数（已验证）

• SameSite：Lax/Strict/None 控制跨站请求是否携带 Cookie；None 需 Secure。
• 令牌：同步令牌（表单隐藏字段）或双重提交 Cookie（Cookie 与请求体/头同值比对）。
• 来源：优先校验 Origin，回退校验 Referer，与允许列表匹配。

实战清单

• 写操作统一校验 CSRF Token 与来源；Cookie 配置 HttpOnly/Secure/SameSite。
• 第三方嵌入与跨域场景按白名单与专用令牌策略处理。