Эта страница описывает случай использования для объяснения CSRF атак (16.1):CSRF токен таймаут
https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html
Но если пользователь действительно регистрируется на веб-сайте банка, то это не возможно для зла веб-сайт, чтобы сделать запрос GET, чтобы получить новый токен CSRF и создать POST без необходимости использования пользователя?
Ответ должен быть нет, иначе токен CSRF был бы бесполезен, но я не понимаю, почему?