Foi explicado que o servidor necessita que seja enviado o token csrf para identificar que a request é de um formulário do próprio servidor, porém como este token está visível quando se abre as ferramentas de desenvolvedor do navegador, uma pessoa que quisesse mandar uma requisição forjada para o nosso servidor poderia copiar este token e utilizar na request do site dele. Não?
Eu imagino que este token deve mudar a cada requisição, porém num ataque onde se pretende enviar apenas uma requisição forjada, a pessoa entraria na nossa página, copiaria o token e o utilizaria na request forjada do site dele enviando para o nosso uma request forjada.
Não tem alguma forma de esconder esse token sem estar visível quando se abre o código da página para inspeção?
