在Web应用中，如何利用HTTP请求头来防御CSRF攻击？请结合GET和POST请求类型详细解释。

防御CSRF攻击是确保Web应用安全的重要环节。HTTP请求头是实现这一防御的关键因素之一。通过设置特定的HTTP头，可以有效地防止CSRF攻击。

参考资源链接：[东南大学网络空间安全实验：跨站请求伪造(CSRF)攻防解析](https://wenku.csdn.net/doc/312xy41436?spm=1055.2569.3001.10343)

首先，我们来了解GET请求和POST请求在CSRF攻击中的应用。GET请求通常用于请求数据，而POST请求用于提交数据。CSRF攻击者会利用用户的已认证会话，通过GET请求诱使用户点击链接或通过POST请求发送带有恶意负载的表单，从而执行非用户意愿的操作。

对于GET请求的防御，可以利用`Referer`头部。`Referer`头包含了当前请求页面的前一个页面的地址。服务器可以检查`Referer`头部是否来自合法的域。然而，需要注意的是，`Referer`头部不总是可靠，因为某些环境下可能被禁用或被伪造。

对于POST请求，CSRF攻击更为常见，因为它们可以提交数据。一种有效的防御手段是使用秘密令牌（CSRF token）。CSRF token是一种一次性的、不可预测的随机值，应该在用户的会话中存储，并在每次POST请求中发送。服务器在接收到请求时，会验证请求中携带的token与会话存储的token是否匹配。由于攻击者无法获取到会话中的token，因此无法构造有效的POST请求。

为了进一步加强防御，可以结合使用`Content-Type`和`X-CSRFTOKEN`（或其他自定义的头部）来确保请求确实是通过合法方式发起的。例如，可以在HTML表单中设置`X-CSRFTOKEN`头部，并在服务器端验证该头部是否与会话中存储的token相匹配。

在实际应用中，使用HTTPS协议也是很重要的，它确保了请求和响应在传输过程中的安全性，从而使得CSRF token不易被中途截获和篡改。

综上所述，通过合理的设置HTTP请求头，结合HTTPS协议和秘密令牌的使用，可以有效地防御CSRF攻击，确保Web应用的安全。推荐进一步阅读《东南大学网络空间安全实验：跨站请求伪造(CSRF)攻防解析》，该资料详细介绍了如何在实际环境中应用这些防御措施，帮助理解和掌握CSRF攻击和防御的整个过程。

参考资源链接：[东南大学网络空间安全实验：跨站请求伪造(CSRF)攻防解析](https://wenku.csdn.net/doc/312xy41436?spm=1055.2569.3001.10343)