Si de hecho el CSRF se usa así con una sesión y un token, pero aún así se puede "brincar" basta con que visiten primero tu pagina, obtengan el token, y luego hagan el POST.

Es por eso que no se puede mitigar al 100%, recuerda la regla de oro NUNCA CONFÍES EN NADA QUE VIENE DEL USUARIO, siempre, siempre valida en el servidor todo, que la acción que va a hacer tiene permisos y que los datos son los esperados. Es la única forma de estar seguros.

Saludos.