- 检查 Referer:在服务器端检查请求头中 Referer 的值,也就是检查请求的来源,如果是来自允许的网站,才会正常执行 API 的功能。
- CSRF Token:在 Cookie 及请求发送的数据中都加上
csrftoken,并检查值是否相同,如果请求来源是自己的网站验证就会通过;反之,由于外部网站无法在代码中得到其他网站的 Cookie,因此无法在请求中带上csrftoken。 - SameSite Cookie:在 Cookie 中加上
SameSite属性,确保 Cookie 仅能在自己的网站使用。