Как работает AntiForgeryToken work

Я пытаюсь защитить от CSRF и имею два сценария:

1. Выполнение POST с другого сайта, и это не удается, когда я включаю AntiForgeryToken
2. Я попытался из своего «вредоносного» Javascript (работающего на другом сайте) сначала выполнить GET страницы, проанализировать ее и извлечь RequestVerificationToken, а затем выполнить POST. Это тоже не удается, но мне непонятно почему?

Можно кто-нибудь, пожалуйста, объясните почему?