CSRF防护源代码：https://github.com/hu60t/hu60wap6/blob/master/src/sub/csrf_protect.php
注意：如果你想用这段代码，请删除第6行的&& empty($_GET['_origin'])这部分，否则会成为一个漏洞。
虎绿林在$_GET['_origin']非空时不接受Cookie，所以不会有问题。

跨站提交测试：点击进入，然后点击“保存”或者“删除所有自定义数据”。

qiniu.img.hu60.cn是hu60.cn的子域名，所以会向该站发送Cookie。不过，因为Cookie中设置了HTTP Only，应该没有办法从JS中读取到Cookie。目前表单提交也加了二次确认，应该比较安全了。目前测试页面点“保存”和“删除所有自定义数据”都是可以被保护的。

你们也可以找一下有没有其他绕过的方式。