però una cosa mi è poco chiara: se il sito terzo malevolo invia i dati via post (comprensivi del token criptato preso dal codice html) al sito ufficiale quest'ultimo poi farà il controllo su quel token col proprio token salvato in sessione e perciò risulterà sempre uguale.. o sbaglio?