Después de leer esta pregunta , si mi entendimiento es correcto, el servidor envía el token CSRF hacia abajo como una cookie. A primera vista, eso parece anular el propósito del token, ya que todas las cookies son enviadas por el navegador, incluso si la solicitud no es del mismo origen.
Sin embargo, para escribirlo como un campo personalizado, primero debes leerlo, lo que puedes hacer solo si eres del mismo origen. Por lo tanto, la solicitud demuestra que proviene de un código que tiene "el derecho a leer" del contenedor de cookies, que es diferente del envío del navegador en su nombre.
Pero no estoy seguro de si lo entendí correctamente. ¿Es así como funciona?