Lo que pasa es que CSRF no es algo que puedas prevenir tanto al validar la sesión, la forma efectiva es escapando lo que imprimes en tu pagina, asegurandote siempre que no estes imprimiendo Javascript que pueda ser precisamente ejecutado y redirigido a otro lugar.

En los formularios se usa también para evitar que hagan un POST desde otro sitio que no sea el tuyo, aunque no lo mitiga al 100% es efectivo, en esos casos.