Ho seguito il corso Pluralsight sulla sicurezza web, in cui si afferma che per mitigare gli attacchi CSRF, il sito web dovrebbe restituire due token CSRF "accoppiati" al client, uno in un campo modulo nascosto e l'altro in un cookie, che sono associato alla sessione dell'utente. Questi token vengono emessi ogni volta che l'utente visita una pagina con, ad esempio, un modulo.
Ora, poiché il sito Web dell'attaccante non è in grado di ottenere il token del campo modulo nascosto (criterio della stessa origine), non può inviare una richiesta valida alla pagina contenente il modulo.
Ma perché sono necessari due token CSRF per prevenire CSRF? Il token del campo modulo non è sufficiente da solo?