CSRF faille - protection via token

Bonjour,

J'ai une question technique pour savoir si j'ai bien compris quelque chose avec la faille csrf.

Quand on mets en place la protection via token, ça fonctionne comme ça :
-On a généré un token par rapport à (une session ?) d'un utilisateur coté serveur qu'on lui file
-A chaque demande POST/PUT/DELETE l'utilisateur doit aussi filer son token(modifié)

Et c'est sécurisé car même si un site b malveillant veut nous faire faire des actions qu'on a pas demandé (en nous envoyant en POST sur notre site) il ne peut pas savoir quel est notre token car :
-soit c'est stocké dans un cookie/local storage et il a pas accès
-soit c'est filé à chaque génération de formulaire et le site malveillant ne peut pas faire de requête cross-domain en Ajax pour chopper le token dans le formulaire

J'ai bon ?