CSRF-атака направлена на то, что злоумышленник заставляет браузер пользователя отправить поддельный запрос на сайт. Вслепую, не зная, что конкретно находится у него в куках. Потому CSRF-токен должен отправляться отдельно от кук, в одном из полей формы. Но если копия CSRF-токена попадёт в куки, опасным это не будет, потому как злоумышленник не имеет доступа к чтению куки (если не получит их другой атакой вроде XSS, либо если на сайте нет TLS и все данные ходят кишками наружу) - может заставить браузер отправить их вместе с формой, но не прочитать их содержимое и не изменить.
Простой
