اگر من این را صحیح بخوانم راهی که Tomcat از CSRF محافظت می کند ، آن را در برابر شرایطی که توکن CSRF در کوکی کپی شده باشد ، آسیب پذیر می کند و پارامترهایی را درخواست می کند که به مهاجم اجازه می دهد تا به سادگی یک توکن اختراع کند (همانطور که در اینجا شرح داده شده است در زیر CSRF توکن در کوکی کپی شده است ). آیا من صحیح هستم یا چیزی احمقانه را گم کرده ام؟