Спасибо, что объяснил так просто! Сам только начал разбираться в веб-разработке, и тема CSRF казалась какой-то жутко запутанной. Теперь понятно, что это просто хитрый способ использовать активную сессию пользователя. Буду пробовать ставить токены и проверять заголовки, чтобы сайты не ломались из-за таких вот дурацких дырок.