CSRF token client tarafında üretilmez hiçbir zaman. Mutlaka server tarafında üretilmelidir. Client tarafında üretilen bir değeri her saldırgan kolaylıkla üretebilir.

Tokeni her requestte neden invalid yapacaksınız onu anlamlandıramadım. Bir token üretin ve onu session ile ilişkilendirin. Bu defa token bir başkasının sessionunda çalışmayacaktır.

Tokeni bir yere kaydetmenize vs. gerek yok. Session ile ilişkilendirdiğinizde o token ile bir başkası zaten işlem yapamaz. Aynı kullanıcı istek yapma yetkisine sahip olur.