Любой, даже динамически созданной форме, всегда автоматически добавляется CSRF токен. Вы не видите его изначально в своих формах и не должны об этом заботиться. Токен представляет из себя md5 хеш идентификатора сессии, задаётся в include/session.php - там автоматически добавляется в страницу javascript переменная с токеном, по взаимодействию со страницей этот токен добавляется hidden полем любой форме.

Все POST/PUT/DELETE запросы защищены токеном! При отправке POST данных, когда они созданы триггерами действий либо javascript вызовами методом _action() токен CSRF будет добавлен автоматически.

Все запросы данными методами, без верного токена, будут заблокированы системой.

Исключение составляют запросы по api авторизованные X-Auth-Token - в данном случае они защищены авторизационным токеном, и токен CSRF не требуется.

Учитывайте это, если создаёте свой кастомный ajax запрос, то вы должны вручную добавить CSRF токен:

$.ajax({
    type: "POST",
    url: "/request",
    data: "CSRF=" + window.CSRF + "&your-value=value",
});

Заметки: Если вы вручную создаёте свой кастомный ajax запрос, то возможно, вы не до конца разобрались с методом _action() и возможностями триггеров, они способны обеспечить практически любые POST ajax запросы и выборки из api.