tokenの値を書き換えることもできるのでは?

方法がないわけではありませんが、PHP側ではどうしようもない問題でもあります。
2021年1月5日
ユーザー

件名の部分が下記となっておりますが、
empty($_SESSION['token']) || $_SESSION['token'] !== filter_input(INPUT_POST, 'token')。

上記のソースコードがわかっていたとして、悪意のあるユーザーが『winner.html』のようなページからアクセスする場合、index.phpのソースから生成されたtokenの値をコピー(①)して$_SESSION['token']とpost時のvalueに設定する(②)事ができれば書き込む事ができると思います。

①、②のような事は実際できるのでしょうか。

生半可な知識での質問となります。
その上でご教授願えればと思います。

この回答を見るにはプレミアムプランへの登録が必要です

プレミアムプランとは?

このレッスンの質問と回答(10)