Возможен ли CSRF без файлов cookie?

Я исследовал это в течение некоторого времени, но не нашел ничего, что могло бы удовлетворить свое любопытство. Возможно ли, как пользователь, стать жертвой CSRF-атаки, если файлы cookie отключены. Очевидно, что CSRF зависит от браузера пользователя для отправки учетных данных пользователя с поддельным запросом на законный сервер. Помимо IP-адресов, браузеры не t автоматически отправлять любые другие значения сеанса не так ли? В этом случае, пока пользователь может войти в систему с отключенными файлами cookie, он будет защищен от CSRF даже на уязвимых веб-сайтах.