Me encontré con un sitio web que utiliza el token de autenticidad de Rails para evitar ataques CSRF. Mi preocupación aquí es que puedo ver el token de autenticidad en el código fuente de la página web. Si cualquier otro servicio intenta llevar a cabo un ataque CSRF y este token es lo único que lo impide, ¿por qué no puede el atacante copiar el token y luego realizar el ataque?