預防 Cross-Site Request Forgery (CSRF) 的一些資料,以下兩個連結講了蠻多的:

其中看到比較特別的是 Double Submit Cookies。將 CSRF token 放到 POST 和 cookie 欄位中,接著 server 只要比對兩者一樣不一樣就可以了,還滿有趣的。