SagePtr

CSRF-атака направлена на то, что злоумышленник заставляет браузер пользователя отправить поддельный запрос на сайт. Вслепую, не зная, что конкретно находится у него в куках. Потому CSRF-токен должен отправляться отдельно от кук, в одном из полей формы. Но если копия CSRF-токена попадёт в куки, опасным это не будет, потому как злоумышленник не имеет доступа к чтению куки (если не получит их другой атакой вроде XSS, либо если на сайте нет TLS и все данные ходят кишками наружу) - может заставить браузер отправить их вместе с формой, но не прочитать их содержимое и не изменить.

Потому что можно отправить форму на другой сайт, но нельзя прочитать, какие именно данные были возвращены этой формой, и вообще нельзя произвольные данные с другого сайта загрузить и прочитать. Конечно, если вы разрешите ajax с любого origin, то злоумышленник легко сможет выполнить и прочитать токен.