Il token lo devi generare tu, lo inserisci nel form e lo memorizzi in sessione, quando leggi i dati dal post, verifichi se il token inviato mediante il post è uguale a quello presente in sessione.
In questo modo l'utente "maligno" inserirà un token che non è presente in sessione quindi il sistema non utilizzerà i dati.