No hace falta complicarse tanto, lo importante es que el código sea diferente por cada sesión de usuario. El verdadero peligro en un ataque CSRF es que otras páginas puedan realizar peticiones sin intervención del usuario.

Y es lógico que tiene que tener un tiempo de validez limitado.