Firebaseで開発したWEBアプリが「安全なウェブサイトの作り方」に沿っているか確認したい

前提・実現したいこと

FirebaseとVue.jsで開発したSPAが情報処理推進機構の「安全なウェブサイトの作り方」にそっているかを確認したいと思っています。
しかし、Firebaseの仕様がわからず、確認できない項目がいくつかあったので、アドバイスいただきたいです。

わかるものだけでもご教示いただけると大変ありがたいです。

情報処理推進機構「安全なウェブサイトの作り方」改訂第7版
https://www.ipa.go.jp/security/vuln/websecurity.html

確認したい項目

(1) セッション管理の不備
①セッションIDをURLパラメータに格納しない。
②HTTPS通信で利用するCookieにはSecure属性を加える
③ログイン成功後に新しいセッションを開始する　OR　ログイン成功後に、既存のセッションIDとは別に秘密情報を発行し、ページの遷移ごとにその値を確認する　のどちらか一方が満たされている

Firebase Authでユーザー認証（メール＆パスワード）を行い、Firestoreへアクセスしていますが、上記①～③は守られているのでしょうか。
OWAZAPというツールを使ったところ、下記のようなHTTP通信を行っており、「セッションIDがURLに含まれてるんじゃん」と不安になりました。
https://firestore.googleapis.com/google.firestore.v1.Firestore/Listen/channel?database=projects%project name%2Fdatabases%2F(default)&gsessionid=xxxxxxx=8&RID=xxx&SID=xxxxxxxx=0&AID=x&TYPE=xmlhttp&zx=xxxxxxx

また、Firebaseは特に何もしなければCookieは使用していない認識なのですが、あってますでしょうか？

(2)CSRF
Firebaseは認証用トークンとしてJWTを採用しており、JWTを採用していればCSRFの心配はないという認識なのですが、あってますでしょうか？

参考サイト

https://slideship.com/users/@iktakahiro/docs/2018/01/JnhLGehLsRw4dcZ42EY3Jf/