csrf的第一步要获取cookies也就是说要先通过xss注入脚本获取吗？？如果注入成功那么表单上cookies不也能获取到吗？？

在另一个你提的问题下的回答：B网站获取不到A网站的Cookie的。但是从B网站向A网站发起的请求会带上A网站的Cookie。这个过程中B网站是全程不知道你的Cookie是什么的，但是你向A网站做的请求却都是合法的。这是CSRF攻击的本质原理。

"B网站获取不到A网站的Cookie的，但是从B网站向A网站发起的请求会带上A网站的Cookie" 请教一下，这获取不到A网站的Cookie，那是怎么带上A网站的Cookie的