简述什么是 CSRF 攻击，如何避免？

CSRF（Cross-site request forgery），中文名称是跨站请求伪造，也被称为one click attack/session riding。这是一种网络攻击方式，属于互联网重大安全隐患之一。攻击者盗用用户的身份，以用户的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，如发送邮件、发消息、盗取账号、添加系统管理员、购买商品、虚拟货币转账等。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。

为了避免CSRF攻击，开发者可以采取一些防范措施，如使用随机令牌。这是一种常见的CSRF攻击防范措施，即在每次向目标网站发送请求时，都要携带一个随机生成的令牌（Token）。目标网站在处理请求时会校验该令牌的有效性，如果无效则拒绝请求。攻击者无法伪造有效的令牌，从而避免了CSRF攻击。

此外，还可以采用其他的安全措施，如验证HTTP Referer字段、使用验证码等，以增强Web应用程序的安全性。同时，用户也应提高安全意识，避免点击不明链接或在不安全的网络环境下进行操作。

请注意，网络安全需要多方面的共同努力，除了技术层面的防范，还需要政策法规的支持和用户的自我保护意识的提高。