Aha, besten Dank

Also die Seite dient ausschließlich dem Download, also könnte ich auf CSRF-Schutz verzichten ...

Eines verstehe ich noch nicht

Weil der Token am Server nicht mehr derselbe ist.

Aber den, also $_SESSION['CSRF_DL'], setze ich doch nur inline, wenn die Seite index.php auch ausgeliefert wird, das wird sie doch nicht beim Datei-Download, denn dann müsste das Formularfeld ja leer sein 🤔

Du müsstest die Formularseite erneut mit gültigem Token aufrufen.

Genau das krieg ich nicht automatisch hin. Setze ich nach dem Download-Aufruf einen redirect zB auf die Seite index.php, wird der Download auch nicht vollzogen.