diff --git a/modules/core/src/main/resources/config/jeesite-core.yml b/modules/core/src/main/resources/config/jeesite-core.yml
index 55f99519..13b600e8 100644
--- a/modules/core/src/main/resources/config/jeesite-core.yml
+++ b/modules/core/src/main/resources/config/jeesite-core.yml
@@ -351,6 +351,10 @@ shiro:
   # 是否允许接收跨域的Cookie凭证数据
 #  accessControlAllowCredentials: true
   
+  # 允许的网站来源地址，不设置为全部地址（避免一些跨站点请求伪造CSRF）
+#  allowReferers: http://127.0.0.1,http://localhost
+#  allowReferers: ~
+  
   # 是否在登录后生成新的Session（默认false）
   isGenerateNewSessionAfterLogin: false
   
diff --git a/web/src/main/resources/config/application.yml b/web/src/main/resources/config/application.yml
index e72a8ff9..9a69f22e 100644
--- a/web/src/main/resources/config/application.yml
+++ b/web/src/main/resources/config/application.yml
@@ -391,6 +391,10 @@ logging:
 #  # 是否允许接收跨域的Cookie凭证数据
 ##  accessControlAllowCredentials: true
 #
+#  # 允许的网站来源地址，不设置为全部地址（避免一些跨站点请求伪造CSRF）
+#  allowReferers: http://127.0.0.1,http://localhost
+#  allowReferers: ~
+#
 #  # 是否在登录后生成新的Session（默认false）
 #  isGenerateNewSessionAfterLogin: false
 #