可以参考微软 MVC 的设计思路，每次请求包含表单的页面时会由服务器生成一对 Token，其中一个放进表单的隐藏输入框，提交表单时会一起带回去（也可以放进请求头部），另一个放进 cookie，也会在提交表单时带回去。在验证时会同时解码表单 token 和 cookie token，确认这两个 token 是一对以后验证通过，继续走请求处理，否则直接返回错误页面。两个 token 都是服务器生成，微软使用只有后端知道的加密方案进行加密，防止前端篡改，每对 token 都是一次性的。
至于生成方式和校验，微软有一整套配套方案，使用起来相当方便，你可以参考看看自己实现一套。
MVC 的 Razor 视图引擎有种东西叫 Html助手（.Net Core 升级为 标签助手），在渲染引擎渲染表单标签时会自动调用 token 服务生成 token 并把表单 token 自动写入隐藏输入框，而 cookie token 会由 token 服务在生成时自动插入响应 cookie。在提交表单后请求处理管道中有一个管道步骤专门负责验证 token（可以通过全局设置或特性标记某个请求是否需要验证，比如默认情况下所有 get 请求不验证 token，Razor Page 的 post 请求自动要求验证 token），如果验证失败则直接返回失败响应，不再继续走管道中的剩余步骤。这个自动化程度相当高，如果你想自己实现这种级别的自动化成本很高，但相应的，安全性也相当高，如果跨域伪造请求，cookie 不会自动带回，且跨域 cookie 会被浏览器限制，同域伪造请求也会因为没有表单 token 而失败。这里是一对步骤，get 表单页面时自动写入 token，post 表单数据时自动验证，没有 get 这个步骤就没有 token，单独伪造 post 请求也没用。