He visto el curso Pluralsight sobre seguridad web, que establece que para mitigar los ataques CSRF, el sitio web debe devolver dos tokens CSRF "emparejados" al cliente, uno en un campo de formulario oculto y otro en una cookie, que son asociado a la sesión del usuario. Estos tokens se emiten cada vez que el usuario visita una página con, por ejemplo, un formulario.
Ahora, dado que el sitio web del atacante no puede obtener el token de campo de formulario oculto (política del mismo origen), no puede emitir una solicitud válida a la página que contiene el formulario.
¿Pero por qué son necesarios dos tokens CSRF para prevenir CSRF? ¿No es el token de campo de formulario suficiente por sí mismo?