跨站请求伪造（CSRF）是一种网络攻击，攻击者利用受害者在登录状态下访问恶意网站，通过构造一个伪装成受害者已经授权的请求来欺骗服务器执行非法操作，从而实现攻击目的。

例如，攻击者在一个社交媒体网站上发送一个链接，要求受害者点击该链接以查看某张照片。然而，该链接实际上是一个伪装的请求，它会向受害者已登录的银行账户发送一条转账请求，而受害者并不知道自己的账户已经被攻击者攻击。

---

为了防止CSRF攻击，开发者可以采取以下措施：

1. 实施同源策略： 在Web应用程序中，只允许同源（相同协议、主机名和端口）的页面才能访问应用程序的资源。这可以通过在服务器端验证HTTP Referer头、使用token等方法来实现。
2. 使用CSRF令牌：在向服务器提交表单时，添加一个唯一的、难以猜测的令牌，来确保该请求是由合法的用户发起的，而不是恶意攻击者伪造的。
3. 操作确认：在涉及到重要操作的时候，比如删除账户或转账操作，要求用户进行额外的确认，比如输入密码、短信验证等。
4. 对所有输入数据进行验证和过滤：对于所有输入数据，包括表单、查询字符串和Cookie，都要进行验证和过滤，以确保数据的合法性和完整性。
5. 及时更新和修补漏洞：及时修复漏洞可以避免攻击者利用已知漏洞进行攻击。
6. 使用HTTP-only Cookie：HTTP-only Cookie 只允许通过HTTP协议传输，防止通过JavaScript等其他脚本语言进行访问，减少了Cookie被窃取或修改的可能性。
7. 减少使用 GET 请求：GET 请求容易被攻击者伪造，因为请求参数可以直接在URL中暴露。使用POST请求代替GET请求可以降低攻击的风险。
8. 定期进行安全评估和测试：定期进行安全评估和测试可以发现潜在的漏洞并及时修补，从而提高应用程序的安全性。

---

以下是一个简单的CSRF攻击的示例：

假设某银行的网站允许用户在登录状态下进行转账操作，其中转账操作的URL为：https://bank.com/transfer?account=123456&amount=10000，其中account参数表示转账账户，amount参数表示转账金额。

攻击者创建一个网站，并在该网站上放置一个自动提交的表单，表单中包含一个恶意的转账请求，如下所示：

<form action="https://bank.com/transfer?account=789012&amount=1000" method="POST" id="csrf-form">
  <input type="hidden" name="csrf-token" value="1234567890abcdef">
  <input type="submit" value="看图说话">
</form>

在这个表单中，攻击者将受害者的账户设置为789012，并将转账金额设置为1000。同时，攻击者在表单中添加了一个名为csrf-token的隐藏字段，其中包含一个随机生成的令牌值。攻击者通过添加一个有效的令牌来伪装成合法的用户，从而欺骗服务器执行恶意请求。

当受害者访问攻击者的网站并点击表单中的按钮时，表单将自动提交，并向银行网站发送一个恶意的转账请求，而受害者并不知道自己的账户已经被攻击者攻击。

---

综上所述，防止CSRF攻击需要开发者和用户共同努力，采取适当的安全措施和行为习惯，从而保护应用程序和用户的安全。