考虑如下办法：
1：用拦截器，检查请求中的 Referer 是否是本站域名，避免从其它地方跳转过来的恶意请求
2：对于敏感性的业务请求，采用隐藏域传递 token，避免恶意请求伪造请求。在表单提交前必须要先获取到一个 token，并且 token 使用一次立即失效
3：对于大额支付类需要高度案全的场景，甚至可以考虑密码或者验证码验证

jfinal 项目是标准的 java web 项目，所以以前你所掌握的 CSRF 防范的方法依然有用，直接用于 jfinal 项目即可。

充分利用 jfinal 的拦截器、Handler 来进行处理