Раньше с CSRF было прям беда — защита почти никакая, и сайты просто полагались на куки. Сейчас же в основном пользуются токенами, которые проверяют, что запрос реально от тебя, а не откуда-то с другого сайта. Конечно, не идеал, но намного спокойней стало.