esa es una de las ventajas de aplicar
CSRF, porque siempre el ultimo token generado es el que tiene la prioridad de que es el permitido para almacenar los datos: si son el mismo form cuando el usuario guarde el segundo, al intentar guardar el primero el token del mismo
no coincidirá con el último registrado en la variable de sesión.
PD: en algunos navegadores, por ejemplo FF, siempre conserva la misma cookie de sesión incluso abriendo otra instancia del ejecutable, (mientras este el proceso corriendo y hasta cerrarlo definitivamente), esto por ejemplo no pasa en IE7