Algunos mecanismos de protección de CSRF son vulnerables a los atacantes que pueden escribir cookies. Otros no son pero incurren en complejidad adicional o costo computacional.
Ayúdame a entender el costo / beneficio. ¿Qué condiciones permiten a los atacantes escribir cookies para un dominio?
Un escenario interesante son las cookies HTTP vs HTTPS. Con un sitio HTTPS, los ataques de hombre en el medio normalmente no son posibles. Sin embargo, si el usuario solicita un sitio HTTP, un atacante MITM puede alterar la comunicación, incluir una referencia de iframe al dominio al que desea dirigirse y, dentro del iframe, escribir en las cookies. Aunque esta comunicación se realiza a través de HTTP, las cookies establecidas aquí afectan al almacén de cookies HTTPS. Escribí sobre esto hace algunos años .
Lea otras preguntas en las etiquetas cookies