Prendiamo l'esempio del mio già effettuato il login, per esempio, su LinkedIn. Quando accedo a LinkedIn su una nuova scheda, mi registra automaticamente (utilizzando le informazioni sui cookie). Ora, supponiamo che visiti un forum e attraverso un'immagine caricata, venga eseguito un attacco CSRF contro le mie credenziali. Per impedire l'utilizzo delle mie credenziali memorizzate sui cookie per un attacco, LinkedIn userebbe token e / o nonce, controllerebbe che il token sia scaduto (o nonce sia già usato) e prevenga l'attacco.
Ciò che mi confonde è che, per quanto riguarda LinkedIn, sia il mio accesso attraverso una nuova scheda che l'attacco CSRF sono avviati dal mio browser (fidato). Ma, LinkedIn mi registra automaticamente a prescindere. In che modo, quindi, LinkedIn potrebbe differenziare l'apertura di una nuova scheda da un attacco CSRF? O forse LinkedIn ha forzato un timeout più severo e mi ha fatto effettuare il login se provo ad accedere da una nuova scheda?