Come funziona X-CSRF-Token?

Sì, è corretto.

La Stessa politica di origine impedisce ad altri domini di leggere il valore effettivo del cookie .

In un attacco CSRF, il browser invia automaticamente i cookie. Anche se l'utente malintenzionato non può leggere questi cookie, può comunque utilizzarli inviando una richiesta cross-site.

Se richiedi che tutte le richieste con effetti collaterali abbiano un valore verificato che viene inviato al di fuori del meccanismo dei cookie, questo mitiga CSRF perché l'autore dell'attacco non ha modo di saperlo.

L'intenzione con l'invio di un'intestazione personalizzata come X-CSRF-Token così come un cookie è che la tecnica, chiamata double submit, mitigherà CSRF se implementata correttamente. Il modo in cui funziona è che mentre i cookie verranno automaticamente inviati con una richiesta forzata come nel caso di CSRF, l'intestazione personalizzata non lo farà, impedendo a un utente malintenzionato di forzare te, la vittima, a non essere attaccato perché il server cercherà entrambi valori. Double submit viene utilizzato nei casi in cui l'applicazione non desideri tenere traccia dello stato di un token anti-CSRF.