Nonces são exclusivos para cada usuário logado. Você não pode raspar os objetos de um usuário logado a menos que tenha seus cookies. Mas se você tiver cookies de um usuário, você já roubou sua identidade e pode fazer o que quiser.
Nonces são feitos para proteger contra usuários que são induzidos a fazer algo que não pretendem fazer, clicando em um link ou enviando um formulário. Então eles mesmos executam essa ação (não intencionalmente), não o atacante.