Ho letto la domanda Double Submit Cookies e mentre risponde un sacco di domande sono ancora un po 'confuso.
Ho dato un'occhiata a questo repo: link
Il riepilogo di questa implementazione è che nella richiesta autenticata inviano un token CSRF in cookie1 e un token JWT (che include il token CSRF) in cookie2.
Il client preleva il token csrf da cookie1 e lo memorizza localmente (assunto) e effettua una richiesta con un'intestazione del token x-csrf con il token csrf.
Il server decodifica quindi il token JWT ed estrae il token csrf dalla risposta originale e lo confronta con l'intestazione del token x-csrf.
La mia domanda è che se un utente malintenzionato ottiene l'accesso ai cookie, non può estrarre il token csrf dal cookie1 e inviare la richiesta con un'intestazione del token x-csrf in una richiesta di modulo insieme a cookie2.