件名の部分が下記となっておりますが、
empty($_SESSION['token']) || $_SESSION['token'] !== filter_input(INPUT_POST, 'token')。

上記のソースコードがわかっていたとして、悪意のあるユーザーが『winner.html』のようなページからアクセスする場合、index.phpのソースから生成されたtokenの値をコピー（①）して$_SESSION['token']とpost時のvalueに設定する（②）事ができれば書き込む事ができると思います。

①、②のような事は実際できるのでしょうか。

生半可な知識での質問となります。
その上でご教授願えればと思います。