Add automatic CSRF protection on all POST forms

- CsrfProtectionSubscriber: auto-injects hidden _csrf_token in HTML responses,
  auto-verifies on POST requests
- Excludes: webhooks, JSON APIs, login (has its own CSRF)
- 9 tests covering all cases (GET, excluded, JSON, no token, invalid, valid, inject, non-HTML)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

TASK_CHECKUP.md

@@ -45,7 +45,7 @@
 
 ### Sécurité & Performance
 - [x] Rate limiting sur les routes sensibles (login 5/15min, commande 10/5min, invitation 5/15min, contact 3/10min)
-- [ ] CSRF token sur tous les formulaires POST
+- [x] CSRF token sur tous les formulaires POST (auto-inject + auto-verify)
 - [ ] Cache Meilisearch : invalider quand un événement est modifié
 - [ ] Optimiser les requêtes N+1 (stats tab, billets par catégorie)