her seferinde yeniliyorsunuz fakat bir önceki oturumda oluşturulan token sonraki oturumda komple geçersiz olması lazım.
örneğin token değerim 1234 olsun.
1234 tokeniyle kullanıcı formu gönderdi, sonuç başarılı ve başarısız fark etmez token yenilenmesi lazım, 1234 tokeniyle tekrar formu gönderemez. oldu ya birileri bir şekilde 1234 tokeniyle formu tekrar göndermeyi başardı. bu durumda da 1234 tokeni bir kere kullanıldığı için artık kullanılamaz olmalı.
ayrıca token değerini post data içinde değilde header olarak göndermeniz daha iyi olacaktır. güncel browserlarda cross site kuralından dolayı başka domainden gelen header verileri engellenir. zaten csrf de cross-site bilmenenin kısaltması oluyor