Como você defende seu Site do ataque de CSRF?

É gafanhoto, se você veio até e não sabe o que CSRF, buscaria entender melhor. As duas opções que estou acostumado a usar é TOKEN CSRF e o Atributo SameSite. E você como faz pra se defender deste possível ataque?