Позвольте мне сначала сказать, что я понимаю концепцию CSRF-атак. Теперь мне интересно, есть ли преимущества размещения токенов в форме поиска? Я ничего не могу придумать сам.
Единственное преимущество, которое я могу придумать, - это потенциальное предотвращение атак типа "отказ в обслуживании", если ваши поиски были чрезвычайно дорогостоящими в вычислительном отношении и требовали аутентификации.