Sto leggendo sul OWASP double submit cookies metodo di protezione e lì afferma che il valore del cookie tra l'intestazione e il modulo deve corrispondere.
Questo sembra essere un po 'un rischio, come afferma l'articolo, dato che il valore incorporato nel modulo è accessibile dal DOM & Javascript.
Non sarebbe più sicuro avere un valore con seme diverso per il cookie e il valore incorporato POST HTTP, in modo che uno script dannoso non possa inferire il valore del cookie
AntiForgeryToken di ASP.NET è un esempio di un doppio cookie di invio. Non mi è chiaro se quel token utilizza lo stesso valore del cookie come forma.