Я читал, что куки «помни меня» хранятся в куки «httpOnly», поэтому они недоступны JavaScript/XSS. Однако cookie «httpOnly» уязвим для атак CSRF, потому что они отправляются с запросом автоматически.Хранение файлов cookie и «CSRF» «Запомнить меня»
Чтобы смягчить атаку CSRF, рекомендуется использовать шаблон синхронизированных токенов (чтобы сервер генерировал токены csrf и перекрестный контроль с клиентом).
Мой вопрос в том, доступен ли cookie «помнить меня», возможно ли сделать CSRF-атаку (вредоносный JavaScript), чтобы сделать запрос, а затем получить токен csrf, сгенерированный с сервера? Проблема состоит в том, что если атака имеет cookie, а также токен для отправки с запросами, тогда безопасность приложения была скомпрометирована. Если это действительно возможно, как мы можем предотвратить это?