I cookie di terze parti aprono la possibilità di CSRF dove potrebbe non esistere? Stavo consultando un post del blog e un Bozza IETF sui cookie same-site che fanno sembrare che i cookie di terze parti potrebbero fai succedere la CSRF.
La mia confusione - CSRF si verifica quando i cookie di sessione sono presenti durante una richiesta di aggiornamento all'applicazione web. Questo perché i cookie di sessione potrebbero essere cookie di terze parti? Affinché CSRF si verifichi, sarà comunque necessario a) la corretta struttura della richiesta b) i cookie di sessione. In che modo i cookie di terze parti aiutano CSRF? L'unica angolazione a cui posso pensare è che la "terza parte" avrebbe probabilmente autorizzato la CORS nella "prima parte" come dominio del richiedente legale. Se la terza parte si basa esclusivamente sulla stessa politica di origine per la mitigazione di CSRF, potrebbe essere nei guai.
Qualsiasi possibile scenario di attacco sarebbe molto apprezzato!