asp.net – ASP反请求伪造,为什么黑客不会先获取？

>创建一个发布到目标网站BankingSite的网站(我们称之为HackerSite)
>使用社交工程(或广告中的XSS等)以便用户使用
访问网站HackerSite
> HackerSite上的脚本将使用用户发布到BankingSite
cookie /凭证因此以他/她的名义发布

由于我们的ARF令牌,BankingSite知道忽略来自网站HackerSite的POST.因为它缺少正确的AFR令牌.谁能告诉我为什么黑客不能通过首先在BankingSite上执行GET请求来获取令牌？像这样：

>创建一个发布到目标网站BankingSite的网站(我们称之为HackerSite)
>使用社交工程(或广告中的XSS等)以便用户使用
访问网站HackerSite
> HackerSite上的脚本将执行GET请求并获取ARF令牌
从响应中的HTML,此请求还将在用户的cookie中设置ARF令牌
> HackerSite上的第二个脚本将使用发布到BankingSite
因此,抓取的ARF令牌用户cookie /凭证
以他/她的名字发布

有谁知道我在这里缺少什么,以及ARF如何抵御这种攻击？