第三方网站能模拟请求获取csrf token吗？

在看讲如何防御跨站请求伪造攻击时，服务端在给前端返回的响应体加了一个隐藏的input，包含了随机的csrf token；我有个疑问，那些恶意的网站，在发起伪造的请求前，可以先发送正常的GET请求，从响应中也获取到csrf token，然后用这个token在发送伪造的请求吗？

不知道你这个问题是否已经解决, 如果还没有解决的话:

• 建议你看下这篇博客👉 ：为什么token能够防止CSRF（修正版）

如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 以帮助更多的人 ^-^