function getCookie(name) {    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");    return r ? r[1] : undefined; } jQuery.postJSON = function(url, args, callback) {     args._xsrf = getCookie("_xsrf");     $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",        success: function(response) {         callback(eval("(" + response + ")"));     }}); };以上是tornado官方文档防止跨站攻击的教程。我有一点不理解的是这里如何可以防止 csrf？ 攻击者如果也用同样的方式获取 cookie，然后发送到服务端，同样可以达到攻击的效果吧。请高手指点一下。