function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}

jQuery.postJSON = function(url, args, callback) {
    args._xsrf = getCookie("_xsrf");
    $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",
        success: function(response) {
        callback(eval("(" + response + ")"));
    }});
};

以上是tornado官方文檔防止跨站攻擊的教程。
我有一點(diǎn)不理解的是這里如何可以防止 csrf？ 攻擊者如果也用同樣的方式獲取 cookie，然后發(fā)送到服務(wù)端，同樣可以達(dá)到攻擊的效果吧。請(qǐng)高手指點(diǎn)一下。