Estoy leyendo sobre OWASP doble submit cookies método de protección y allí indica que el valor de la cookie entre el encabezado y la forma debe coincidir.
Eso parece ser un riesgo, como lo indica el artículo, ya que el DOM & puede acceder al valor incluido en el formulario. Javascript.
¿No sería más seguro tener un valor de semilla diferente para la cookie y el valor incorporado HTTP POST, de modo que un script malicioso no pueda inferir el valor de la cookie
El AntiForgeryToken de ASP.NET es un ejemplo de una cookie de envío doble. No me queda claro si ese token usa el mismo valor para la cookie que para el formulario.