HTTP 요청의 Origin 헤더 값을 살펴보고, 추가적으로 인증 관련 Cookie에 SameSite=strict를 설정해 CSRF를 방지할 수 있다.
물론 <form> 제출에 Origin을 포함하지 않거나 SameSite 속성을 지원하지 않는 클라이언트도 있으므로 별도로 대비해야 한다.
github.com/sveltejs/kit/issues/72#issuecomment-927143506
보안에 취약할 수 있는 cross-site form submit을 프레임워크 차원에서 막는 경우도 있다. SvelteKit은 기본적으로 다른 origin에서 제출된 양식을 거부한다. POST만 막는 이유는 <form>이 get, post, dialog 메서드만 지원하기 때문 github.com/sveltejs/kit/pull/6510