Tomemos el ejemplo de que ya he iniciado sesión en, por ejemplo, LinkedIn. Cuando accedo a LinkedIn en una nueva pestaña, automáticamente se registra (usando información de cookies). Ahora, supongamos que visito un foro y, a través de una imagen que se carga, se ejecuta un ataque CSRF contra mis credenciales. Para evitar el uso de mis credenciales almacenadas en cookies para un ataque, LinkedIn usaría el token y / o nonce, verificará que el token haya caducado (o el nonce ya esté en uso) y evitaría que se produjera el ataque.
Lo que me confunde es que, en lo que respecta a LinkedIn, tanto mi inicio de sesión a través de una nueva pestaña como el ataque CSRF se inician desde mi navegador (confiable). Pero, LinkedIn automáticamente me inicia sesión independientemente. ¿Cómo diferenciaría LinkedIn al abrir una nueva pestaña de un ataque CSRF? ¿O debería LinkedIn haber impuesto un tiempo de espera más estricto y hacerme iniciar sesión si intento iniciar sesión desde una nueva pestaña?