JavaScript是Web开发中的重要组成部分之一，它可以帮助前端开发人员实现各种强大的功能，但是它也存在着安全性问题。其中，CSRF（Cross-Site Request Forgery）攻击就是JavaScript安全性方面的一个热门话题。本文将详细介绍什么是JavaScript CSRF攻击，以及如何避免这种攻击。

对于CSRF攻击，最容易被人理解的例子就是网购操作。用户在一个购物网站上浏览商品，并且已经登录该网站并保留了会话，然后他看到了一个广告，并在广告中给出了一个链接，链接指向一个攻击者设计的网站。

<html>
<head>
</head>
<body>
<form action="http://www.example.com/test" method="post">
<input type="hidden" name="id" value="123" />
<input type="submit" value="Submit" />
</form>
<script>
document.forms[0].submit();
</script>
</body>
</html>

上面的代码片段展示了一个最简单的CSRF攻击的示例。攻击者通过iframe或是别的方式将一个表单提交到目标网站，表单中会携带攻击者预先设置好的恶意参数。而当用户的浏览器渲染出这个URL的时候，里面的表单又会自动被提交，用户并不会察觉到这种攻击的存在。

在Web开发中，为了防范CSRF攻击，通常有如下几种方式：

1. 验证HTTP Referer头字段

在HTTP协议中，当浏览器向网站请求数据时，会携带Referer头字段，该字段记录了当前请求的来源地址。验证该字段是否合法可以防止CSRF攻击，因为攻击者无法获取到这个来源地址。

if(req.header('Referer').indexOf('http://www.example.com') === 0) {
next();
} else {
res.status(403).send('Forbidden');
}

2. CSRF Token

CSRF Token是一个随机生成的字符串，它储存在cookie中，并携带在表单中提交到服务器。服务器会在每个请求中验证该Token的合法性，如果Token不正确，服务器将拒绝该请求。相对于Referer头字段，使用CSRF Token的好处就是更为安全。

const csrf = require('csurf');
app.use(csrf());
app.get('/form', function (req, res) {
res.render('send', { csrfToken: req.csrfToken() });
});
app.post('/', function (req, res) {
res.send('CSRF token is valid');
});

3. SameSite cookie属性

SameSite cookie属性可以防止原站点请求跨站点发送cookie，因此可以防止一些简单的CSRF攻击，但是这种方式不能完全防止所有的CSRF攻击。需要注意的是，该属性只支持比较新的浏览器。

res.setHeader('Set-Cookie', 'key=value; samesite=strict');

总之，如果你在Web开发中使用了JavaScript，那么防范CSRF攻击是非常重要的。以上三种方式都是有效的，具体选择哪一种方式需要根据你的应用场景来自行判断。