Dopo aver letto questa domanda , se la mia comprensione è corretta, il server invia il token CSRF a valle come cookie. A prima vista, ciò sembrerebbe vanificare lo scopo del token poiché tutti i cookie vengono inviati dal browser anche se la richiesta non è della stessa origine.
Tuttavia, per scriverlo come campo personalizzato, devi prima leggerlo, cosa che puoi fare solo se sei di origine identica. Quindi la richiesta dimostra che proviene dal codice che ha "il diritto di leggere" dal cookie jar, che è diverso dal browser che lo invia per tuo conto.
Ma non sono sicuro di averlo capito correttamente. È così che funziona?