Innanzitutto, la protezione CSRF non fa parte del problema o della soluzione qui, stai solo sovraccaricando il termine per essere sinonimo di sessione. Come ho sottolineato nel mio commento, la protezione CSRF è principalmente quella di proteggere contro un utente malintenzionato che esegue un'azione per conto di una vittima autenticata. La creazione dell'account (nella maggior parte dei casi) è un'azione eseguita da un utente non autenticato. In genere non si consente a un utente autenticato di creare un account, CSRF o CSRF. (Le interfacce di gestione dell'appartenenza sono fuori dal campo di applicazione per questa discussione.)
La domanda di fondo che vedo qui è "ha importanza se una singola sessione del browser crea più account, se la verifica dell'email è parte del processo di creazione dell'utente?"
La risposta è, dipende, ma probabilmente no. Ciò che è importante è, quali minacce stai cercando di proteggere contro?
Creazione automatica di utenti spam? In tal caso, probabilmente non importa. È abbastanza facile per un bot buttare via i cookie di sessione e in genere non seguono un processo di verifica dell'e-mail.
Se stai cercando di proteggere da spammer umani non sofisticati, potrebbe offrire un po 'di protezione aggiuntiva. Non molto, ma un po '. Tuttavia, direi che questo è vero anche per lo scenario 1. Anche senza la verifica dell'e-mail, non c'è davvero molto da guadagnare qui, in termini di sicurezza. Otterrai, di gran lunga, la protezione più aggiuntiva dalla convalida della posta elettronica (e altre misure aggiuntive, come un captcha, o la limitazione del numero di account che possono essere creati da un singolo indirizzo IP) e molto poco dal tentativo di limitare il numero di utenti creati da una sessione del browser.