Есть нюанс. Если открыты одним юзером две страницы с формами в разных вкладках. Неизвестно какая из них последней генерировалась. И жмет юзер на одну из них. Если это последняя сгенеренная то норм а если сгенеренная до этого то нормально а если не последняя. А если ту отправить на сервер которая страее? Там csrf-ключ будет не таким каким последний сохраненый в сессии. То есть ключ надо генерить аяксом перед отправкой а не при создании формы.