Вот столкнулся с проблемой Csrf атак на своём сайте.
Читаю как избавится от неё. Везде пишут, что применяют Anti-csrf token и что, якобы, гарантированно спасает.

Как сейчас производится атака:
Пользователю моего сайта присылают ссылку, он по ней переходит, производится POST запрос на мой сайт, где исполняются от его имени какие-то действия.

С Anti-csrf token: что мешает сначала сделать запрос на страницу, где этот токен генерируется, а потом точно также произвести POST запрос уже с этим же токеном?

Redya69, а он нужен только для операций авторизованных пользователей, и должен привязываться к учетке. Придется сначала зайти под юзером чтобы получить ключ валидный для него.

подсунуть ему ссылку. Он по ссылке переходит, там javascript выполняет два запроса из его браузера: один к странице, где форма с сгенерируемым токеном, второй с хак-POST запросом. Или я что-то не так понимаю?

То, что этот токен будет уже другой. И если в сессии нет токена или не тот - делаете пользователю отлуп "CSRF-токен устарел, отправьте форму ещё раз"
Токен генерируется на сессию или вовсе для каждой формы индивидуально.
(Добавление)

Каким образом? Кроссдоменный запрос. Если сами не сделаете глупость в настройке сервера - он не пройдёт.

Не должен. Токен обычно создается на основе сессии. session_id + какая нибудь хэш функция.

Ch_chov, вероятно я не правильно выразился, но все равно есть связь "юзер - сессия - токен".