PHP言語の参考書を読んでいて、CSRF対策の部分で、分からない部分があったので教えて頂ければ幸いです。
予めハッシュ値のワンタイムトークンをサーバ側セッションと、のち送信されるだろうhidden項目に保存し、クライアントから送信された際にそれら比較を行う、という手続きと解釈しています。

その説明部分に、「より厳密にはトークンを隠しフィールドだけではなく、クッキーにも保存しますが、ここでは簡略化のために割愛しています。」

との記載があります。
クライアント側のクッキーにも保存してWチェックをすべき、ということなのでしょうが、
それは、セッションとクッキーの比較を行うべきなのでしょうか?それともhiddenの項目内容とクッキーの内容を比較すべきなのでしょうか?背景が分かっていなくて妙なことを聞いてすみません...