CSRF対策の一つにワンタイムトークンを発行する形式がある。
しかし単純に実装するだけでは以下の方法で破られてしまう危険性がある。

1).
ログイン画面にワンタイムトークンがあると想定する。

<input type="hidden" name="__token" value="asfas5j54pXxh">

2).
攻撃者はログイン画面と全く同じページを別のサーバ等に作成し
PHP等のプログラムでデータを取得しtoken情報を得る。

3).
取得したtoken情報を使用してデータを送信する。

単純にtoken情報だけの一致でチェックを行うと、これだけで通ってしまう可能性があります。