He leído en la pregunta Double Submit Cookies y mientras responda Un montón de preguntas todavía estoy un poco confundido.
He echado un vistazo a este repositorio: enlace
El resumen de esta implementación es que en la solicitud autenticada envían un token CSRF en cookie1 y un token JWT (que incluye el token CSRF) en cookie2.
El cliente luego saca el token csrf de cookie1 y lo almacena localmente (asumido) y realiza una solicitud con un encabezado x-csrf-token con el token csrf.
El servidor luego decodifica el token JWT y extrae el token csrf de la respuesta original y lo compara con el encabezado del token x-csrf.
Mi pregunta es que si un atacante obtiene acceso a las cookies, no podrá extraer el token csrf de la cookie1 y enviar la solicitud con un encabezado x-csrf-token en una solicitud de formulario junto con la cookie2.