Объясните, как правильно реализовать защиту от CSRF в веб-приложении, используя токены и атрибуты `SameSite`. Почему простое использование `SameSite=Strict` может быть недостаточным в некоторых сценариях?