protect_from_forgeryの挙動について

CSRF対策として用意されているprotect_from_forgeryというメソッド周りの挙動について教えていただきたいです。

ApplicationControllerの一行目に

protect_from_forgery  with: :exception

が書いてある状態で、かつ、config/application.rb内に、

module StManager
  class Application < Rails::Application
    
    config.action_controller.allow_forgery_protection = true

  end
end

と書いてある状態であるにも関わらず、create後のrender画面をリロードすることで二重登録が発生してしまいます。
これは仕方ないことなのでしょうか？

あと、そもそもなのですが、ApplicationControllerのprotect_from_forgeryを消しても、form_for等で作成されるform内にauthenticity_tokenが表示されているのですが、それっておかしくないですか？

いまいちよく分かっていなくて申し訳ないのですが、protect_from_forgeryの挙動について正しく理解しCSRF対策をきちんとできるようにしたいので、教えていただきたいです。

よろしくお願いいたします。