Насколько я понимаю, CSRF не позволяет злоумышленнику использовать<img> тег, чтобы получить жертвуs браузер для отправки запроса, который будет аутентифицирован с использованием cookie-файла сеанса. При условии<img>s всегда отправляются с использованием запроса GET, а не POST, тогда почему необходимо запрашивать токен CSRF в запросе POST?

Кроме того, злоумышленник нене сможет отправить форму на веб-странице без возможности запуска кода (например, атаки XSS), и в этом случае они в любом случае могут обойти ваши средства защиты CSRF.