Я думаю ДА .
Если каким-то образом злоумышленник инициализирует сокетное соединение со стороны клиента и отправляет сообщение, то да, атака CSRF возможна.
Конечно, это ИСТИНА ТОЛЬКО, ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ АУТЕНТИФИКАЦИЮ НА ОСНОВЕ COOKIE.
В качестве атак CSRF используются файлы cookie, которые автоматически отправляются браузером вместе с запросом, и запрос проходит проверку подлинности.
Если вы используете куки для аутентификации запроса и соединения, тогда да CSRF-атака возможна.
Чтобы избежать этих атак, лучше использовать аутентификацию TOKEN BASED, например JWT .
No Cookie-based authentication == No need for CSRF protection.
Вот несколько полезных ссылок, касающихся AUTHENTICATION :
куки-файлы против аутентификации токена
аутентификация API REST
Вам нужна защита CSRF?