Сразу отвечу на второй вопрос. На сколько я помню работа с формами хорошо описана в документации, с примерами и пояснениями и я сомневаюсь, что вам объяснит кто-то лучше.
А по поводу, зачем нужен CRSF. Вы считаете, что вашему сайту не нужна защита? Зная url на который надо высылать данные можно очень насолить владельцу сайта, например написав небольшой скрипт "загадить" вам базу данных. Или если у вас есть форма логина пользователя, без CSRF подписи, то методом перебора подбирать пароли. Дело это конечно неблагодарное, но вполне себе вероятное.
