Как реализовать SignOut не потеряв защиту от XSRF/CSRF?

Проблема заключается в том, что я не очень понял механизм авторизации. Стандартный процесс предусматривает передачу токенов в заголовках либо в куках. Что бы обеспечить защиту от XSRF/CSRF атак, использование кук не подходит, т.е., более предпочтительный вариант - заголовки. Тут появляется вопрос, как сделать "выключение" токена, если он хранится на клиенте в LocalStorage?

Нужно учесть ещё то, что тут не используется подход и access/refresh токенами, а так же они не хранятся на сервере в базе данных.