Хотя вопрос расплывчатый, я попробую ответить. Чтобы защитить себя от CSRF, вот что вам нужно сделать в принципе в простейшей форме.
- Когда на вашей странице входа в систему создается исходный запрос, на котором вы формируете форму входа, создайте уникальный токен / хэш-сервер и сохраните его в своем сеансе или, возможно, в другом хранилище данных.
- Когда вы визуализируете страницу входа, сохраните этот токен на стороне клиента либо в файле cookie, либо в качестве скрытого поля формы.
- Когда пользователь заполняет форму и отправляет запрос, сначала убедитесь, что уникальный токен действителен, а затем подтвердите подлинность пользователя. Если уникальный токен не совпадает, он либо подделывает токен, либо пытается отправить запрос автоматически.
CSRF наиболее подходит для пользователей, которые вошли в систему, потому что, если токен попадет в чужие руки, может произойти неприятность. Таким образом, в этом случае, как только человек вошел в систему для каждого активного сеанса пользователя, вы будете генерировать уникальный маркер для каждого запроса, чтобы убедиться, что именно аутентификация пользователей делает запрос.
Надеюсь, это поможет!