С Википедия :
Атака работает путем включения ссылки или сценария на страницу, которая обращается к сайту, на который пользователь известен (или должен) иметьбыл аутентифицирован.Например, один пользователь, Боб, может просматривать форум чата, где другой пользователь, Фред, опубликовал сообщение.Предположим, что Фред создал элемент изображения HTML, который ссылается на действие на веб-сайте банка Боба (а не на файл изображения), например,
<img src="http://bank.example.com/withdraw?account=bob&amount=1000000&for=Fred">
Если банк Боба хранит свою аутентификационную информацию вфайл cookie, и если срок действия файла cookie не истек, то попытка браузера Боба загрузить изображение отправит форму вывода с его файлом cookie, что позволит авторизовать транзакцию без одобрения Боба.
Создав и включив в свою форму случайный токен, вы можете избежать такого рода атак, проверив, соответствует ли опубликованный токен сгенерированному (обычно хранится в сеансе пользователя).
Кохана документы четко говорят, как это сделать:
Вы можете вставить этот токен в свои формы в виде скрытого поля:
echo Form::hidden('csrf', Security::token());
А затем проверьте это при использовании проверки:
$array->rules('csrf', array(
'not_empty' => NULL,
'Security::check' => NULL,
));