Разобрался в чем дело. SEO-шник попросил добавить в заголовки Expires (для разных типов страниц - разный Expires). Так вот из-за этого и не обновлялся токен. Пришлось убрать из контроллера этот заголовок.
В связи с этим вопросможно ли как-то сделать, чтобы и Expires задавался программно (по условию SEO), но и чтобы корректному формированию токена это не мешало?
Update: заголовки оставил, убрал csrf из некоторых форм. Кому интересно почему - читайте комментарии ниже)
