ну тут все просто, тут не проверялось что именно за токен он отправляет, проверялось, что 2 токена совпадают, поэтому он просто одно и то же написал в куки и хедер, собственно все, проверка на CSRF пройдена.