Encontré este enlace que explica cómo un atacante podría explotar el control de acceso y permitir que el origen obtenga un token anti-CSRF:
Si el token en el ejemplo anterior era un token de un solo uso (se genera uno nuevo cada vez que la página se carga y caduca después de su uso) ¿cómo afectaría eso a los resultados?
¡Gracias!