Como você defende seu Site do ataque de CSRF?

É gafanhoto, se você veio até e não sabe o que CSRF, buscaria entender melhor.
As duas opções que estou acostumado a usar é TOKEN CSRF e o Atributo SameSite.
E você como faz pra se defender deste possível ataque?