Na stronie django,https://docs.djangoproject.com/en/dev/ref/contrib/csrf/ w Stanach:

The CSRF protection is based on the following things:

1. A CSRF cookie that is set to a random value (a session independent nonce, as it is called), which other sites will not have access to.
2. ...

Następnie stwierdza również, że token csrf można uzyskać z cookie przez javascript:

var csrftoken = $.cookie('csrftoken');

Czy te dwa stwierdzenia nie są ze sobą sprzeczne? Powiedzmy, że jest atak krzyżowy, wtedy atakujący może po prostu uzyskać token CSRF z pliku cookie, a następnie wykonać żądanie POST z tokenem CSRF w nagłówku? Czy ktoś może to wyjaśnić?

AKTUALIZACJA

Teraz zdaję sobie sprawę, że tylko javascript z tego samego pochodzenia ma dostęp do pliku cookie. Kolejne pytanie to:

Jeśli żądanie POST automatycznie doda plik cookie jako część żądania, a wartość pliku cookie csrf django jest taka sama jak token csrf, to złośliwe żądanie cross source nadal i tak będzie miało poprawny token CSRF? (w pliku cookie)