Если речь именно про способ с Cookies, то тут такой подход:
1. Сервер присылает токен в куках. Его вычитывает JS. Для этого нужно чтоб кука не была HTTP-only.
2. Да, кука эта будет слаться с каждым запросом. Однако серверу на это будет наплевать. Главное - чтоб JS при формировании AJAX запроса поместил это значение в отдельный HTTP Header . Именно его будет вычитывать сервер.

Таким образом мы гарантируем что запрос послали именно с нашей страницы. JS на чужом сайте не сможет прочесть куку.

questionerВот я ума не приложу как это помогает в описанной мной ситуации. Если токен хранится в куках, то он также опять с формой уедет в запросе. Разве нет ? В чем тоность ? что я упускаю ?Мм.. а здесь ты что-то про форму говоришь. Если речь про HTML form (что редкость на сегодняшний день), то тут хедер не сработает - потому как HTTP запрос уйдет без участия JS. В таком случае токен встраивается в hidden поле у формы. И если это наш сервер сгенерил форму, значит он смог правильный токен указать.

Работать будет, да. Но Cookies же в этом способе не используются.
Счас мы обычно шлем AJAX запросы JS'ом. Form submission (как вот на этом форуме) редко можно встретить.

Причем тут OAuth2? CSRF token != Oauth2 token.

Ты не сильно обращай внимание на то что петро пишет. Он как обычно - вопрос не понял, в теме не разобрался, зато спешит показать всем какой он умный. Советую его не кормить, просто игнорируй. А то эта теме превратится в кашу как и все остальные.

Да причем тут MFA. Надо сначала все-таки прочесть что такое CSRF. Клиент уже залогинен в банке. И из-за того что он залогинен, если мы сумеем послать запрос с другого сайта из браузера пользователя - то банк не сможет отличить обычный пользовательский запрос со страницы банка и этот запрос злоумышленника. И теперь злоумышленник может что-то поменять от лица пользователя.

И решаются эти проблемы в частности с помощью CORS и csrf_token'ов.

OWASP :
OWASP CSRF attacks are also known by a number of other names, including XSRF , “Sea Surf”, Session Riding, Cross-Site Reference Forgery, and Hostile Linking. Microsoft refers to this type of attack as a One-Click attack in their threat modeling process and many places in their online documentation. Wikipedia :
WikipedieaCross-site request forgery, also known as one-click attack or session riding and abbreviated as CSRF (sometimes pronounced sea-surf[1]) or XSRF ;)