由于反CSRF令牌分为HTTP cookie和隐藏的< input>元素,攻击者是否能够启动登录CSRF取决于他所处的位置.当然 – 您可以说服我的浏览器提交< form>包含您的令牌,但我的浏览器会将我的cookie连同请求一起提交给服务器. cookie和表单令牌不仅仅编码字符串“anonymous”：它们还包含将两者链接在一起的随机标识符.在这种情况下,由于您不知道我的cookie中包含的随机标识符,您仍然无法对我进行登录CSRF攻击.

如果攻击者与目标网站共享域名(例如,attacker.shareddomain.com和bank.shareddomain.com),则攻击者可以为* .shareddomain.com设置cookie并用他自己的一个覆盖受害者的cookie选择.这将允许进行CSRF攻击.您需要其他机制(如2FA或HTML5本地存储)来防止共享子域方案中的CSRF攻击.