El almacenamiento de token en una cookie no es una solución al problema CSRF. La vulnerabilidad CSRF surge del hecho de que el navegador envía automáticamente cookies junto con la solicitud. Como resultado, la aplicación considera que la solicitud proviene de un usuario válido (y autenticado). Lo único que necesita el atacante es la solicitud exacta que debe enviarse. La introducción del token Anti-CSRF aleatorio (solicitud específica o sesión específica) hace que sea imposible (o simplemente muy difícil) preparar una solicitud válida (en general, el atacante no conoce el valor válido para el token anti-csrf) y dicha solicitud será soltado por el servidor.
Si coloca su token en una cookie, se enviará al servidor automáticamente, como una cookie de sesión, para que no obtenga ninguna protección adicional de eso.
EDITAR:
Podría malinterpretar su pregunta. Puede estar hablando del llamado patrón de doble envío de cookies donde se envía el mismo valor en el campo oculto y la cookie.
Sí, este enfoque es aceptable cuando almacenar el token CSRF en sesión es problemático, puede leer más sobre esto aquí: Double Submit Cookies .