El csrf se generá en cada petición, hay una larga discusión en los foros en inglés en relación a esto, algunos optan en no usar csrf, otros en desactivarlo para peticiones ajax, y otros en ingeniárselas para generar y obtener el csrf en cada petición.

En mi caso, me ha traído sólo dolores de cabeza, y con el dolor de mi corazón (y de mi seguridad) lo desactivo por defecto.

Slds!