Cita: Q es lo q un atacante podría lograr?
Ataques como SQLInjection, CSRF, XSS.
Cita: a final de cuentas yo siento q sólo es un parámetro más a la hora de hacer el envío de un formulario o petición AJAX,
El asunto es que sólo el servidor saber que generó, y al recibir el formulario compararía dicho valor contra lo que le provee el usuario.
Obviamente sólo harán "match" si son el mismo, y además es un valor que se regenera con cada petición de modo que cada usuario crearía un valor único y que cambia en la siguiente petición, etc.