Si en el handshake o después cuando le das propiedades al usuario... ejemplo tenes un hash usando sha256 y el value es el nombre del usuario con el ip de el encriptado o en plain text..

Lo del CSRF es nuevo para mi, pero al parecer si entiendo bien todo va con dejar que el usuario postee texto trickeando el browser para hacer un http request a otra pagina o el mismo dominio mientras el usuario este identificado en su cookie
con ocurrencias usando una imagen..

Pero como todo, en seguridad web no confíes en inputs de los clientes todo escapalo .. mejor que se cargue el servidor a que te hackeen o lo hagan a tus clientes..