Если у пользователя уже есть cookie-файл «anti_csrf» для вашего домена, то злоумышленник CSRF остается дома бесплатно! HTTP-запрос отправляется с cookie, и, конечно, легко включить параметр в POST, если вы знаете, каково значение.
Файл cookie name не должен быть секретом, но значение cookie должно быть трудно угадываемым секретом, известным только пользовательскому сеансу. Таким образом, злоумышленник не знает (и не может угадать), что нужно поместить в атакующую HTTP-транзакцию.
Если вы разместите код на странице, которая составляет значение cookie, вы должны предположить, что злоумышленник может получить собственный сеанс на вашем сайте (то есть действительный «реальный» логин) и проверить код напрямую. Если легко выяснить, как значение cookie генерируется на стороне клиента (и для почти любого решения на стороне клиента, известного человеку, так и будет), то злоумышленник снова может заставить свою страницу атакующего включить правильное значение параметра в ПОСТ АКТА.