CSRF (Cross-Site Request Forgery) — атака, когда злоумышленник заставляет браузер пользователя отправить запрос на твой сайт с чужой страницы. Защита: SameSite cookies (Lax или Strict) — браузер не отправит куку с чужого домена. CSRF-токен — сервер генерирует случайный токен, вставляет в форму, проверяет при получении. Для API с JWT в заголовке Authorization — CSRF не страшен, потому что заголовок нельзя отправить cross-origin без CORS. В Go используют gorilla/csrf middleware или свою реализацию с crypto/rand.