mit dem Formular setzt Du einen Keks mit einem bestimmten Value (z.B. SCRIPT_NAME).

Wird das Formular abgeschickt, kommt der Cookie mit und serverseitig kann somit geprüft werden, dass der POST auch tatsächlich von dem Formular kommt.

Das erschwert Request Forgery nur minimal. Wenn der Angreifer das heraushat, lässt er den Browser des Anwenders einfach das Formular abrufen und den Cookie abholen, bevor er ihn Daten an die zweite URI schicken lässt.

Mathias