Как тестировать защиту от CSRF?

CSRF тестирование: создаём вредоносную страницу которая отправляет запрос от имени авторизованного пользователя. Тест: авторизуемся в браузере, открываем другой таб или сторонний сайт, пытаемся выполнить state-changing операцию без CSRF токена. Должен получить 403. Проверяем: CSRF токен присутствует в форме (hidden field), проверяется на сервере, токен уникален для каждой сессии, SameSite=Strict/Lax для cookies. Проверяем: можно ли обойти через XMLHttpRequest без токена.