Почему защита от CSRF с помощью `HttpOnly` и `Secure` флагов cookie не является достаточной? Приведите пример сценария, где это может привести к уязвимости, и как это можно усилить?