¿Es posible que un atacante falsifique el token / cookie de envío doble, cuando el primer token / cookie está en el encabezado de la cookie y el segundo token / cookie está en los parámetros del cuerpo?
Sí, hay una forma de usar XSS, pero ¿no es eso?