Csrf,Yii2

Вопросов пара:
1) В YII2 реализована двухступенчатая защита от CSRF атак - вначале приложение сравнивает csrf - токен из куки, если всё ок, сравнивает токен из метатага. А какой смысл пихать токен в куки, чем плох одноступенчатый метод с использованием лишь метатага? Тем более, если у юзера отключены куки - то выкинет 400.
2) Так и не могу понять до конца смысл защиты. Если используется метод GET, изменяющий состояние, вопросов нет. Вот пример из педевикии :

Код (PHP):

1. Мэллори: Привет, Алиса! Посмотри, какой милый котик: <img src="http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory"> 

Ну а если у мну на сайте такие методы реализованы через POST - каким образом я пострадаю без csrf - токенов?
При POST запросе ссылка будет иметь вид

Код (PHP):

1. http://bank.example.com/withdraw     

и все данные будут скрыты в теле запроса.

Добавлено спустя 8 минут 36 секунд:
На второй вопрос нашел ответ - злоумышленник может сгенерировать скрытую форму, которая отправится в случае перехода незадачливым юзером по ссылке. На первый вопрос пока еще не нашел
С яваскриптом практически незнаком, поэтому тут может быть такое объяснение : при создании объекта XMLHttpRequest csrf - токен берется как - раз из куки. Но если через яваскрипт можно спарсить значение метатага, то это ничего не объясняет. Вопрос - можно ли?

 

Ребят,выручайте

 

Неа,пойду туда