Javascript 所有串上的往返转义&服务器端通信的XSRF保护

我正在读angularjs的FAQ文章 在AngularJS中的安全漏洞一节中，我发现了以下声明

AngularJS为您在所有字符串上执行往返转义，甚至为服务器端通信提供XSRF保护

但我无法理解它的含义。 我试着用谷歌搜索它，但没有关于这方面的适当描述。

---

有人能举例解释一下上面的说法吗？

我不确定往返逃逸部分，但你可以从他们的网站$http阅读更多关于AngularJS的XSRF攻击安全性的信息。。。上面写着：

XSRF是一种未经授权的站点可以获取用户私有数据的技术。Angular提供了一种对抗XSRF的机制。执行XHR请求时，$http服务默认从cookie中读取令牌XSRF-token，并将其设置为http头X-XSRF-token。因为只有在您的域上运行的JavaScript才能读取cookie，所以您的服务器可以确保XHR来自于在您的域上运行的JavaScript。不会为跨域请求设置标头

希望对我有所帮助，并给出我的前几点意见：