Sí, la cookie se enviará automáticamente con todas las solicitudes del navegador. Así que solo usar un token en una cookie anula todo el propósito de la defensa CSRF.
Entonces ... ¿Todos los sitios donde usted ve tokens CSRF en las cookies son vulnerables? No. Lo más probable es que el valor en la cookie también se incluya en otro lugar, por ejemplo. en un encabezado o campo de formulario oculto. Esto se conoce como el patrón de "doble envío de cookies", y tiene la ventaja de que no requiere estado del servidor. Como de costumbre, OWASP te cubrí:
Cuando un usuario se autentica en un sitio, el sitio debe generar un valor pseudoaleatorio (criptográficamente sólido) y configurarlo como una cookie en la máquina del usuario, separada de la ID de sesión. El sitio no tiene que guardar este valor de ninguna manera, evitando así el estado del lado del servidor. El sitio luego requiere que cada solicitud de transacción incluya este valor aleatorio como un valor de formulario oculto (u otro parámetro de solicitud). Un atacante de origen cruzado no puede leer los datos enviados desde el servidor ni modificar los valores de las cookies, según la política del mismo origen. Esto significa que mientras un atacante puede forzar a una víctima a enviar cualquier valor que desee con una solicitud CSRF maliciosa, el atacante no podrá modificar o leer el valor almacenado en la cookie. Dado que el valor de la cookie y el parámetro de solicitud o el valor del formulario deben ser los mismos, el atacante no podrá forzar con éxito el envío de una solicitud con el valor CSRF aleatorio.