Sì, può succedere. Molte pagine reindirizzano alla pagina di accesso quando una richiesta che richiede l'autenticazione fallisce a causa dell'utente che non ha effettuato l'accesso.
Se l'utente non è abbastanza consapevole, potrebbe tentare di accedere pensando che si tratti di un accesso "ordinario" (e non di un accesso causato da una richiesta che richiede l'accesso). In molti casi, la pagina di accesso sarà quindi dopo il login, inviare nuovamente la richiesta inizialmente non riuscita.
Ciò può essere ottenuto dal fatto che la richiesta stessa viene salvata in un cookie, o che la richiesta può essere salvata in una sessione legata a un cookie (come un post sul forum) e quindi viene pubblicata dopo che l'utente ha effettuato l'accesso.
Può essere simile ad un attacco di fissazione della sessione, ma invece l'intera richiesta malevola è "fissata" durante il login.
Il resubmitting delle richieste fallite può essere visto come un esempio su molti forum phpBB. Diciamo che stai rispondendo a un thread e la tua sessione scade. Quindi si preme su "Post", si viene reindirizzati alla pagina di accesso e quindi si effettua il re-login. Successivamente, il tuo post è pubblicato, come se fosse "salvato" nel modulo di login.
Tuttavia, phpBB utilizza la protezione CSRF. Era solo un esempio di come un tale nuovo invio può accadere.
In alcuni rari casi, la richiesta può essere salvata in un cookie permanente, che rende molto pericoloso un "attacco CSRF non autenticato". Questo è comune con i negozi online, che potrebbero salvare l'intero carrello in un cookie permanente. Se un webshop salverà un ordine completato in un cookie permanente e il webshop impiega una carta di credito salvata ("autorizzazione di pagamento ricorrente"), è molto probabile che un utente possa visitare il sito CSRF, premere il pulsante, notare che non accade nulla. Quindi, giorni o mesi dopo, visita il webshop e prova a effettuare il login, Voilá, un ordine viene immediatamente inserito a causa del cookie permanente, con l'indirizzo di spedizione diretto all'attaccante.