例えば、席を外したときに、隣の人が自分が開いたブラウザからソースコードをみて、token をコピーしたら、その人がコピーした token を使って、サーバーにある index.php に悪質投稿することが可能ということでしょうか。

そう考えるとかなり危険だと思いますが、実際はどうでしょうか。