1 - http_only برای این استفاده میشه که اگه true باشه به مرورگر اجازه نمیده با استفاده از جاواسکریپت  به اطلاعات کوکی دسترسی پیدا کنه ...این متد ربطی به csrf نداره و خیلی وقت هستش که برای cookie میشه این و ست کرد که به صورت پیش فرض روی لاراول هم true هستش ... داخل فایل config/session.php میتونید این گزینه رو مشاهده کنید . 

 2 - ببینید به این صورت هستش که زمانی که شما وارد یک سایت لاراولی میشید یک session برای شما ایجاد میشه که داخلش همین توکن نگه داری میشه .. حالا زمانی که شما میخواید فرم ارسال کنید سمت سرور باید اون توکن رو هم ارسال کنید به سمت سرور ... زمانی که شما فرم رو ارسال میکنید لاراول اون فرمی که ارسال کردید رو قرار میده در کنار اون session که از شما ذخیره کرده و این ۲ تا رو با هم مقایسه میکنه ...