Der Ausgangspunkt meiner Anfrage war ja ein anderer, der sich mit Martins Antwort aber nun auch auflöst: Wenn also der HTML-Teil entgegen meiner Annahme doch ausgeführt wird, dann wird ja auch $_SESSION['CSRF_DL'] und damit der CSRF-Token verändert, aber das Formular im Browser enthält weiterhin das Feld mit dem alten Wert.

Damit hab ich eigentlich alles. Ich werde, wie dedlfix anregte, beim reinen Download auf eine CSRF-Prüfung verzichten. Und ich werde Felix seinen Tipp, statt mit Eingaben in ein Textfeld mit Links auf die Dateien zu arbeiten, umsetzen. Spart mir am Ende Arbeit 😀

Ich danke allen für die Hinweise

bis zu nächsten Mal

Gruß Claus