CSRF защита в глубине

Вот как работает атака CSRF:

Алиса (вольно или невольно) посещает compromised.com

compromised.com делает HTTP-сообщение † запрос к yoursite.com, используя форму HTML, или JavaScript, или Flash, или что угодно, что может сделать HTTP-запрос на публикацию.

<form method=post action="http://yoursite.com/change-password">
<input name=password value=666>
<input name=confirm_password value=666>
</form>

Это работает, потому что веб-браузер отправит Алису yoursite.com сессионный файл cookie для yoursite.com,

Из-за Политика того же происхождения, compromised.com может отправить любые данные, которые он хочет на любой сайт, но не могу прочитать данные с других сайтов.

Вот как работает защита от CSRF:

yoursite.com требует переменную HTTP post request _csrf_token (или аналогичный) и сравнивает его с тем, что вы сохранили для Алисы в на стороне сервера память сеанса

Ты пишешь _csrf_tokenзначение в скрытый ввод в ваших HTML-формах, поэтому он автоматически отправляется с сообщениями формы из yoursite.com

compromised.com не могу прочитать значение _csrf_token от yoursite.com из-за политики того же происхождения, поэтому его попытки опубликовать yoursite.com не удастся.

<form method=post action="http://yoursite.com/change-password">
<input name=password value=666>
<input name=confirm_password value=666>
<input name=_csrf_token value="???">
</form>

† это не должно быть сообщение, но это распространено