Любой, даже динамически созданной форме, всегда автоматически добавляется CSRF токен. Вы не видите его изначально в своих формах и не должны об этом заботиться. Токен представляет из себя md5 хеш идентификатора сессии, задаётся в include/session.php - там автоматически добавляется в страницу javascript переменная с токеном, по взаимодействию со страницей этот токен добавляется hidden полем любой форме.
Все POST/PUT/DELETE запросы защищены токеном! При отправке POST данных, когда они созданы триггерами действий либо javascript вызовами методом _action() токен CSRF будет добавлен автоматически.
Все запросы данными методами, без верного токена, будут заблокированы системой.
Исключение составляют запросы по api авторизованные X-Auth-Token - в данном случае они защищены авторизационным токеном, и токен CSRF не требуется.
Учитывайте это, если создаёте свой кастомный ajax запрос, то вы должны вручную добавить CSRF токен: