Encontré este enlace que explica cómo un atacante podría explotar el control de acceso y permitir que el origen obtenga un token anti-CSRF:
Si el token en el ejemplo anterior era un token de un solo uso (se genera uno nuevo cada vez que la página se carga y caduca después de su uso) ¿cómo afectaría eso a los resultados?
¡Gracias!
Convertir el token anti-CSRF en un nonce no ayuda en absoluto. Simplemente significa que el atacante tiene que realizar dos solicitudes para cada acción: primero obtiene un token nuevo, luego hace la solicitud real con el token. Esto no es más difícil que reutilizar el mismo token para múltiples solicitudes.
El problema descrito en el artículo no es noticia. La protección CSRF depende completamente de la política del mismo origen, por lo que una vez que permita que las personas realicen solicitudes entre sitios, se encontrará con problemas.
Lea otras preguntas en las etiquetas xss csrf same-origin-policy