Si, es algo muy tonto porque tienes que entrar en la pagina forosdelweb.com sin enviar el formulario, ver el token, copiarlo y ponerlo en mipagina.com ademas del ID de session tuyo y enviar el formulario desde ahi. Esto solo funciona de esta forma (siempre que no tenga control por IP, Navegador ...).

Pero, de que te sirve? Siempre que quiera enviar un formulario tienes que hacer este proceso... Solo funcionaria 1 vez con un token. Para volver a enviar este formulario, tienes que volver a entrar en forosdelweb.com para que vuelva a generar el token, lo vuelves a poner en mipagina.com y vuelves a enviar ... de que sirve esto?.

Si tienes el ID de sesion y el token, esto no lo puedes prevenir... pero tampoco veo el porque lo harías. Cual es el riesgo de seguridad aquí? Es el mismo usuario que si tiene acceso.