Рекомендация по включению токена предотвращения csrf в вызовы ajax заключается в том, чтобы включить их в качестве метатега на вашу страницу, к которому затем можно получить доступ и включить в заголовок. http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
Как это нельзя использовать? Например, если example.com включает токен csrf в метатег, могу ли я просто создать вредоносный сайт с некоторым javascript, который будет вызывать example.com, а затем анализировать ответ, находить метатег, а затем ввести значение токена в форму моей вредоносной страницы?