CSRF 跨网站请求伪造的原理是什么？如何防范？

CSRF (Cross-site request forgery，即跨站请求伪造)是一种常见的Web攻击方式，攻击者通过利用受害者的身份在受害者不知情的情况下对其进行恶意请求。

攻击者会构建一个恶意网站，向受害者发送邮件等方式诱导受害者进入，并在该网站中设置含有攻击代码的页面。当受害者访问该页面时，浏览器会在受害者的Cookie中保存该网站的登录状态和身份信息，攻击者就可以利用这些信息进行攻击。攻击者将伪造请求发送到目标网站，以受害者的身份进行操作，比如进行转账、删除文件等，从而实现非法控制目标网站的目的。

防范CSRF攻击的方法包括以下几个方面：

1. 验证来源站点：在目标网站的请求中添加验证字段或者提交时进行验证。只有来自特定来源的请求才被视为合法请求。

2. 添加随机令牌：为每次请求生成一个随机的令牌，并将其存储在Cookie中。在提交请求时检查令牌，只有在请求中包含正确的令牌时才被视为合法请求。

3. 使用验证码：通过添加验证码来防止自动提交的请求，验证码可以防止攻击者使用自动化脚本进行攻击。

4. 用户教育：通过教育用户不要点击未知来源的链接，不要在不可信的网站上登录自己的帐号等方式，提高用户的安全意识，以增强安全性。

总的来说，防范CSRF攻击的关键是需要保护用户身份认证信息，严密控制请求来源和请求体，同时还可以通过不同的技术手段来规避风险。