Предотвращение CSRF?

Я уже видел несколько вопросов отсюда (stackoverflow) и ЭТО сообщение, но у меня все еще есть вопросы ...

1. Использование скрытого значения в форме сообщения и проверка это когда пост достигает сервера.

   • Скрытое значение можно легко скопировать и отправить точно так же, как и настоящее, «трудно угадать» (например, md5) не поможет. (правильно?)

2. Установка cookie, когда вы переходите к форме и отправляете значение cookie как скрытое значение.

   • Вы можете легко изменить значение файла cookie или отправить собственный файл cookie, точно такой же, как настоящий, с тем же самым реальным скрытым значением. (верно?)

3. Используя «тайм-аут», значения POST не могут быть достигнуты слишком поздно.

   • Итак, если вы будете медленными, у вас ничего не получится, когда вы попытаетесь настроить все со скрытым значением. Если ты будешь быстрым, это сработает. (верно?)

Я хочу быть защищенным в отношении CSRF ... но как именно я это делаю?