如何防止 CSRF 攻击？

当浏览器发起跨域请求时，涉及到了一些常见的跨域请求头字段。下面是一些常见的跨域请求头字段及其作用：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=456a48fa4a04479f838fbdd83424b855Origin：表示请求的源（即发起请求的域名），浏览器会自动在请求头中添加该字段。Access-Control-Allow-Origin：表示允许访问资源的域名，服务器通过在响应头中添加该字段来授权特定域名访问资源。可以是具体的域名，也可以是通配符"*"，表示允许来自任何域名的请求。Access-Control-Allow-Methods：表示允许的HTTP方法，服务器通过在响应头中添加该字段来指定允许的请求方法，如GET、POST、PUT等。Access-Control-Allow-Headers：表示允许的请求头，服务器通过在响应头中添加该字段来指定允许的请求头字段，如Content-Type、Authorization等。Access-Control-Expose-Headers：表示允许暴露的响应头字段，服务器通过在响应头中添加该字段来指定允许被前端代码访问的响应头字段。Access-Control-Allow-Credentials：表示是否允许发送凭据（Cookie、HTTP认证等），服务器通过在响应头中添加该字段并设置为"true"来授权发送凭据。https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=456a48fa4a04479f838fbdd83424b855

学校到大三下了还一堆课，一堆课也就算了，七零八散，基本上每天都有课。想去实习都要拼拼凑凑累死累活。据说大四还有很多课。既要学生就业率，给学生安排一堆课，课多也就算了，考试还难。限时吐槽一下，真的疯。。。。。我真的已经尽全力了。。。

输入验证和过滤：对用户输入的数据进行验证和过滤，确保只接受符合预期格式和内容的数据。可以使用合适的库或框架进行输入验证，如限制特殊字符、转义特殊字符等。输出编码：在将用户输入内容（包括用户输入的文本、URL 或 HTML）输出到页面时，将其进行合适的编码处理，以防止脚本代码被解析执行。常用的编码方式有 HTML 实体编码和 URL 编码。使用 HTTP-only Cookie：将敏感信息（如用户身份验证的 Cookie）标记为 HTTP-only，这样脚本无法通过 JavaScript 访问该 Cookie，减少 XSS 攻击的威力。使用内容安全策略（CSP）：通过配置内容安全策略，限制页面加载资源的来源，只加载可信的资源，以防止恶意脚本的注入。定期更新和维护：及时更新和修复应用程序的漏洞和安全问题，以提高应用程序的安全性。教育用户：提高用户的安全意识，教育用户不要轻信可疑的链接或提供个人敏感信息，从而降低受到 XSS 攻击的风险。https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e

请问一下牛油们： 实习技术面后2天还没回复正常吗 要主动去问面试官面试结果吗