「ぼくはまちちゃん」 ――知られざるCSRF攻撃(@IT)
http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html
CSRF対策としてセッション情報の文字列をランダム化するという方法を実際どうやるのかを下記の記述でちょっとイメージできました。

1つは、Cookieなどで利用しているページリクエストごとに発行されるセッションコードや、ランダムに発行された文字列などを利用する方法である。移動前のページで発行されたこれらの文字列を記録しておき、次ページのフォームのhiddenタグなどに埋め込むことで、2つが一致するかをチェックして、正規の遷移で移動していることを確かめるのだ。