Мать его CSRF

Всем добра!

Сессия не видна в классе NoCSRF. Да и не только в нем, еще в классе защиты от CSRF.

Думал проблема в pjax, но нет. Сама тема и класс здесь. https://php.ru/forum/threads/pjax-mat-ego-kak-obnovit-pravilno-token.76162/#post-597111

Куда копать? Буду благодарен за любые подсказки.
Сайт использует MVC.

Спойлер: index.php

PHP:

1. // Константа дефолтный путь к файлу
2. define('ROOT', dirname(__FILE__));
3.  
4. require_once(ROOT.'/config/defines.php');
5.  
6. require_once(ROOT.'/components/Autoload.php');

Спойлер: Autoload.php

PHP:

1. <?php
2.  
3. /**
4. * Функция __autoload для автоматического подключения классов
5. */
6. function __autoload($class_name)
7. {
8.  
9.     $array_paths = array(
10.         '/components/',
11.         '/controllers/',
12.         '/models/',
13.     );
14.  
15.     foreach ($array_paths as $path)
16.     {
17.         // Формируем имя и путь к файлу с классом
18.         $path = ROOT . $path . $class_name . '.php';
19.  
20.         // Если такой файл существует, подключаем его
21.         if (file_exists($path)) require_once($path);
22.  
23.     }
24. }