跨站请求伪造攻击（CSRF）是一种恶意攻击技术，攻击者利用用户已经认证的会话信息，通过诱使用户在不知情的情况下发送请求，从而达到攻击目的。这种攻击方式可能导致用户被非法操纵，例如账户信息泄漏、修改密码、发表恶意内容等。

为了防御CSRF攻击，首先应该了解攻击者利用的原理。攻击者一般会构建一个恶意网页，其中包含对目标网站发起请求的代码。当用户访问这个恶意网页时，其中的代码会自动触发对目标网站的请求，并且该请求会利用用户的已认证会话信息进行发送。由于请求是在用户不知情的情况下发送的，目标网站会认为这个请求是合法的，并执行相应的操作。

为了有效防御CSRF攻击，可以采取以下措施：

1. 随机化请求参数：每个用户的请求都应该包含一个随机生成的参数，该参数与用户会话相关联。当请求发送到服务器时，服务器会验证参数是否合法，如果不合法，则拒绝执行请求。通过该措施，攻击者无法预先获取到合法参数，从而无法成功发起攻击。

2. 使用验证码：在涉及到敏感操作的页面上，可以采用验证码作为额外的验证手段。用户需要正确输入验证码才能执行该操作，从而确保请求是由用户主动发起的，而不是恶意代码触发的。

3. 双重认证：对于一些重要的操作，可以引入双重认证机制。除了用户的账号密码外，还需要用户提供额外的验证信息，例如手机短信验证码或指纹识别等。这样即使攻击者成功获取了用户的会话信息，也无法顺利执行重要操作。

4. Referrer验证：在服务器端对请求的来源进行验证也是一种有效的防御手段。服务器可以检查请求头中的Referrer字段，确保请求来自合法的来源网页。注意，该方法并不能完全防御CSRF攻击，因为攻击者可以通过伪造Referrer字段来绕过该验证。

5. 设置短暂的会话过期时间：如果会话的过期时间设置的较短，攻击者获取到的会话信息也就变得没有意义。因此，及时使会话过期时间短暂是一种有效的防御手段。

综上所述，要有效地防御跨站请求伪造攻击（CSRF），必须采取多种不同的防御策略，包括随机化请求参数、使用验证码、双重认证、Referrer验证和设置短暂的会话过期时间等。这些措施可以大大减少CSRF攻击的风险，提升系统的安全性。