¿Las cookies de terceros abren la posibilidad de CSRF donde puede que no exista? Estaba mirando una publicación de blog , así como una borrador de IETF sobre cookies del mismo sitio que parece que las cookies de terceros pueden hacer que CSRF suceda.
Mi confusión: CSRF ocurre cuando las cookies de sesión están presentes durante una solicitud de actualización a la aplicación web. ¿Esto se debe a que las cookies de sesión pueden ser cookies de terceros? Para que CSRF ocurra, aún necesitaría a) la estructura de solicitud correcta b) las cookies de sesión. ¿Cómo ayudan las cookies de terceros a CSRF? El único ángulo en el que puedo pensar es que el "tercero" probablemente CORS haya incluido en la lista blanca al "primer partido" como un dominio de solicitante legal. Si el tercero confía únicamente en la Política del mismo origen para la mitigación de CSRF, entonces podría estar en problemas.
¡Cualquier posible escenario de ataque sería altamente apreciado!