csrf攻击都是面对各种表单提交等会修改网站数据的事件，但对于每个用户这个事件的url地址一般是固定的。用户可以在你的网站内部访问这个地址，那当其已登录的情况下，同样可以通过网站外部成功访问这个地址，如自己在地址栏输入：某网站/转账？to="张三"&money="100"，更特殊的，可以通过js脚本隐式访问这个url，暗中修改网站数据,那么第三方网站可以访问这个地址吗？答案是可以的，就像你可以在自己网站跳转百度，进入自己的百度首页（有用户信息）。因此第三方网站可以利用你的cookie进行暗中操作，所以用户与网站间需要某种“协议”来防止这种随意的数据修改，表单验证中带上自有你访问此网页才能获取的token，验证通过，才能执行，此时，为了安全，你当然也不能通过地址栏输入：某网站/转账？to="张三"&money="100"来转账了。

这种攻击手法是这样的：
1.用户使用浏览器访问SERVERA并以管理员身份登陆（此时用户在SERVERA上是已经认证过的）
2.用户访问SERVERB的某个恶意页面，这个页面可能会通过AJAX或者IFRAME来访问SERVERA的一个地址（模拟用户访问A，但此时用户并不知情）
3.SERVERA接受此次访问并完成相应操作

防御原理：
SERVERA采用CSRF_TOKEN时，每次提交的form都会包含一个TOKEN，服务器SERVERA接收到后会验证这个TOKEN
由于这个TOKEN是由SERVERA下发给用户的，所以只有SERVERA和用户知道，这样可以确保在第3步的时候SERVERB构造的攻击链接无法通过SERVERA的验证。

获取表单输入之前，就要先验证传入的 csrf 字段是否有效。
简单来说，每次出现表单提交的时候，在表单中增加一个 隐藏的随机的 csrf 字段，随同表单一起提交，服务端要先判断提交的 csrf 字段是否与服务器上的 csrf 字段一致，如果不一致就直接报错。

我觉得这个是用来防止别的ajax访问，还有就是其他这些软件访问；因为要想使用一个使用了CSRF_TOKEN的接口，你必需得找到获得html中的CSRF_TOKEN随机串。
以上是个人理解