Куки SOP + SameSite полностью предотвращают CSRF?

Существует 2 формы атаки подделки межсайтовых запросов:

1. Самозванец: злоумышленник отправляет запросы с куки-файлами жертвы, прикрепленными для аутентификации.
2. Логин CSRF: злоумышленник входит в свою учетную запись, чтобы последующие действия жертвы на целевом веб-сайте были видны злоумышленнику.

Первую атаку можно предотвратить путем установки флага SameSite для файлов cookie, а вторую атаку можно предотвратить с помощью политики того же источника.

Полностью ли предотвращают вышеприведенные меры CSRF для браузеров, которые их поддерживают, без необходимости реализации более сложных мер, таких как токены CSRF?

Примечание. Я полностью контролирую все мои субдомены.