я не совсем понимаю зачем в статьях так замороченно описывают защиту от csrf. ниже я опишу очень простой сопсоб, а вы пожалуйста скажите в чём я не прав:

токены не использовать, а сервер будет проверять только атворизационную куку и заголовок origin (или referer). таким образом пользоваться сайтом смогут все пользователи кроме тех что зашли в анонимном режиме хрома или другим извращённым способом. но таких мало

если сервер видит, что в пришедшем запросе установлен разрешённый origin (referer) и прикреплено верное значение авторизационной куки, то значение формы обрабатывается

zlodiak,
Referer давно рассматривался как способ, но был признан неправильным. Вот, например:
https://intsystem.org/security/stripping-referer-in-redirect/

zlodiak, если учесть, что сервер (атакующий может его использовать) позволяет подделать referer, то он не может быть "гарантированной защитой". А вообще все гораздо серьезнее, ведь эксплуатируются не только страница/браузер, но различные уязвимости, которые увы есть и всегда будут.

https://xakep.ru/2011/10/31/57627/
https://xakep.ru/2006/10/20/34592/
https://xakep.ru/2008/03/13/42758/
...