Eu tinha uma dúvida sobre a prevenção da CSRF. Muitos sites dizem que o CSRF pode ser evitado usando 'tokens' gerados aleatoriamente por sessão.

gora, minha dúvida é, suponha que eu tenha uma função como:

$.post("abcd.php",{'fbuid':userid,'code':'<?php echo  md5($_SESSION['randcode']); ?>'}

agora esse hash md5 seria obviamente visível para qualquer hacker por meio do código-fonte. Ele poderia simplesmente abrir esta página, gerar um token e manter a página aberta, para que a sessão não fosse destruída e usasse outra guia ou qualquer outra coisa , para começar a invadir,

Não

Ou a minha ideia de tokens está incorreta?

Obrigado pela sua ajuda: D