IPAの資料に、CSRF対策が記載されています。
リクエスト強要(CSRF)への対策は、ユーザ本人以外の者が捏造(ねつぞう)したコンテンツに基づいて発せられたHTTPリクエストを Webアプリケーションが受け付けないようにすることである。
そのためには、代金決済やコミュニティ脱退等の重要な処理の場面において、秘密の「照合情報」をWebアプリケーションとブラウザの間でやりとりし、第三者が用意した偽のコンテンツから発せられたリクエストを区別できるようにする。
具体的には、フォームを表示するプログラムによって他者が推定困難なランダム値を hiddenフィールドとして埋め込み送信し、フォームデータを処理するプログラムによってそのランダム値がフォームデータ内に含まれていることを確認する。
そのランダム値がフォ-ムデータに含まれていない場合、処理を見合わせるようにする。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/301.htmlより)

では、この知識を踏まえ、過去問(H28春SC午後Ⅰ問1)を解いてみましょう。
(2)フレームワークにCSRF対策機能がない場合は,次のルールに従った実装をして, CSRF対策とする。
・ POSTメソッドによるアクセスだけを用いる。
・前画面で,HTMLフォーム内に[ e ]を[ f ]フィールドの値として埋め込む。
・画面遷移時に受信したデータが,埋め込んだ[ e ]と一致するかを確認する。
さて、先ほどのIPAの解説資料の通りです。
攻撃者が推測可能な文字ではいけませんので、eにはランダム値を入れます。フィールドとしては、hiddenフィールドを使います。
※hiddenフィールドを使うには、GETではなくPOSTメソッドの必要があるのです。

【解答】
e ランダムな値
f hidden