Como he leído acerca de los tokens CSRF, el servidor generalmente incrusta el token CSRF en el formulario en una etiqueta oculta. De esa manera, al enviar el formulario como una solicitud POST, el token CSRF se puede enviar y recibir en el servidor para la autenticación.
Por lo tanto, mi idea es que una secuencia de comandos malintencionada solicite el mismo formulario (con el token CSRF incorporado) y use el token CSRF para realizar un ataque.
¿Cómo podemos proteger la aplicación si el caso anterior es posible? ¿Me estoy perdiendo algo? Gracias de antemano chicos!
EDITAR / ACTUALIZAR:
Bien, digamos que tiene un sitio web bancario abierto en su navegador con un formulario con el token CSRF, luego abre un sitio malicioso en otra pestaña. El sitio malicioso carga y realiza una solicitud al servidor para obtener el formulario (con el token CSRF incorporado), luego lo analiza y usa el token CSRF para realizar un ataque. ¿Es eso posible?