什么是跨站请求伪造（CSRF）攻击？请解释如何防止CSRF攻击（非常详细）

跨站请求伪造（CSRF）攻击是一种网络攻击，它利用用户对网站的认证状态来执行未经授权的操作。在这种攻击中，攻击者诱使已经登录受信任网站的用户无意中执行恶意操作，如转账、修改密码等。攻击者通过诱导用户访问恶意网站或点击恶意链接，利用用户的登录状态向受信任的网站发送请求，而这些请求会附带用户的认证信息，如Cookie或Session ID。

CSRF攻击的工作原理：

1. **用户登录受信任网站**：用户访问并登录一个网站，如银行网站。
2. **访问恶意网站**：用户在不退出银行网站的情况下，访问了攻击者控制的恶意网站。
3. **发送恶意请求**：恶意网站通过各种手段（如隐藏的表单、图片标签等）向银行网站发送请求，这些请求会携带用户的认证信息。
4. **执行非预期操作**：银行网站接收到请求后，由于请求中包含有效的认证信息，会将其当作用户的合法操作执行，如转账给攻击者。

防御CSRF攻击的策略：

1. **使用CSRF Token**：在每个敏感操作的请求中加入一个随机生成的Token，服务器端验证Token的有效性。这是最常用的防御机制之一。
2. **SameSite Cookie属性**：通过设置Cookie的SameSite属性为Strict或Lax，可以限制浏览器在跨站请求中发送Cooki