Маркер CSRF не требуется при использовании соединений через веб-сокет.
Когда вы посещаете вредоносный веб-сайт, он может отправить пост-запрос через javascript на другой веб-сайт, на котором вы в настоящий момент авторизованы. Ваш браузер также отправит вам cookie-файл сессии на этот другой веб-сайт, поэтому веб-сервер считает, что вы действительно отправил этот пост-запрос и выполнил бы запрос. CSRF-cookie предотвращает это. Так как вредоносный сайт не может прочитать значение файла CSRF-cookie, он не может добавить значение к пост-запросу.
Также вредоносный веб-сайт может открыть соединение через веб-сокет с другим сайтом. Это причина, почему вы должны использовать OriginValidator. Если вы используете его, то сервер принимает только подключения к веб-сокету с вашего сайта.
Когда вредоносный сайт пытается открыть соединение с вашим сервером, он сразу же отклоняется.
Таким образом, разница между пост-запросом и веб-сокет-соединениями заключается в том, что браузеры отправляют исходный заголовок на веб-сокет-соединениях, но не всегда на почтовые запросы.
Похоже, что современные браузеры всегда отправляют заголовок источника: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Origin
Так что, возможно, вам вообще не нужно использовать CSRF-cookie. См. Также: Защита CSRF с заголовком CORS Origin против CSRF-токена