Чтобы прямо ответить на ваш вопрос - нет, CSRF не позволяет хакеру притворяться другим пользователем и оставлять комментарии. Что он может позволить, так это злоумышленник сделать реальный, вошедший в систему пользователь отправить комментарий для них.
CSRF - это атака, при которой кто-то, не имеющий разрешения на доступ к ресурсу, обманывает кого-то, у кого есть разрешение на доступ к нему.
Так, например, защита от CSRF может помешать кому-либо обманом заставить пользователя опубликовать комментарий со ссылкой на спам или вредоносное ПО. В качестве альтернативы, запрос, который он обманывает пользователя, может быть искажен, вызван сбоем вашего веб-сервера или содержать код, предназначенный для того, чтобы ускорить процесс проверки и нанести ущерб вашей базе данных или иным образом поставить под угрозу ваш сайт.
Таким образом, без защиты от CSRF кто-то теоретически мог бы заставить вошедшего в систему пользователя отправить комментарий, который он на самом деле не написал.
С защитой CSRF Django обнаружит, что это не настоящие данные, отправленные через реальную форму на вашем сайте, и отклонит их.