お世話になっております。
下記の質問で、トークンの値は盗まれないことを前提としているとありますが、
https://dotinstall.com/questions/4okj1a8

ソースを見るだけでトークンの値を確認することができています。
実際に公開するページではソースを見てもトークンの値は表示されず、
下記のように書いたそのままのコードだけが見えるという認識で大丈夫でしょうか。

<input type="hidden" name="token" value="<?= h($_SESSION['token']); ?>">