comprensión de la prevención CSRF

Te estás perdiendo la política del mismo origen . Para que su escenario funcione, los atacantes necesitan el código JavaScript de su página para poder acceder al iFrame. Eso no es posible.

Recuerde esta regla: una ventana / marco no puede comunicarse con otra ventana / marco sin que la ventana / marco objetivo lo permita (mediante el uso de messaging , por ejemplo).

En su caso, el marco de destino no lo permitirá. Por lo tanto, el atacante no podrá acceder al DOM de iFrame para agarrar el token. Tampoco puede enviar formularios o enviar solicitudes a través del iFrame mediante programación.

Cuando el usuario visita el sitio legítimo, el servidor genera un token aleatorio y lo incrusta en el formulario. Para que el servidor acepte un envío de formulario, el token válido debe enviarse junto con el resto de los datos.

Cuando el atacante crea el formulario falso en el sitio malicioso, no tiene conocimiento de este token y no puede insertarlo. Esto hace que el servidor de destino rechace el envío del formulario.

El atacante no usaría un iframe para cargar el formulario original. Crean y envían su propio formulario que hereda la identidad del usuario. El token permite que el servidor de destino sepa que el envío no es de una forma legítima.