Вам необходимо html-атрибут кодировать токен, прежде чем поместить его в скрытое поле.Вы добавляете его в форму на стороне клиента или на стороне сервера?Если вы делаете это на стороне сервера, вы можете выполнить проверку ввода, чтобы убедиться, что токен находится в ожидаемом формате.