有什么措施可以防止CSRF攻击？

Question

我正在寻求实施一项安全措施来防止CSRF。我正在开发将发布到.net Web API的JavaScript SDK。 SDK被消耗到单独域中的html页面中。

例如，我的设置是：

• 域https://www.example.com上的HTML页面
• 页面包含对JS文件https://www.myfile.com/sdk.js的引用
• JavaScript sdk对https://www.myapi.com/api/submit进行http POST

我对此进行了很多阅读，但是我相信我的方法与常规存在一些差异，这是因为存在多个领域。确保当我的sdk js库发布到api时，它不会受到csrf攻击的最佳方法是什么？