Как защититься от CSRF атак в Node.js?

CSRF (Cross-Site Request Forgery): злоумышленник заставляет браузер жертвы делать запросы от её имени. Защита: CSRF tokens (csurf пакет) — синхронизирует токен между формой и cookie. SameSite: Strict/Lax для cookies — браузер не отправит cookie при кросс-сайт запросах. Double Submit Cookie — CSRF token в cookie и в заголовке. Для SPA (REST API + CORS): правильный CORS config + sameSite cookie + проверка Origin header. JWT в Authorization header не уязвим к CSRF (браузер не добавляет автоматически).