tornado xsrf

function getCookie(name) {
    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
    return r ? r[1] : undefined;
}

jQuery.postJSON = function(url, args, callback) {
    args._xsrf = getCookie("_xsrf");
    $.ajax({url: url, data: $.param(args), dataType: "text", type: "POST",
        success: function(response) {
        callback(eval("(" + response + ")"));
    }});
};

以上是tornado官方文档防止跨站攻击的教程。
我有一点不理解的是这里如何可以防止 csrf？ 攻击者如果也用同样的方式获取 cookie，然后发送到服务端，同样可以达到攻击的效果吧。请高手指点一下。