Según mi entendimiento, evitar el uso de cookies como mecanismo de autenticación evita las vulnerabilidades de CSRF por completo (es decir, la autenticación basada en token en un SPA), cuando se autentica.
¿Esto también hace que las comprobaciones de CSRF en la página de inicio de sesión / punto final de API sean innecesarias? Por lo que puedo ver, a pesar de que se nos puede engañar para que le enviemos solicitudes de manera involuntaria, esto no tendría ningún efecto, ya que no estamos utilizando cookies para autenticar solicitudes posteriores.
Sin embargo, quería consultar con su sabiduría colectiva: ¿podemos evitarlos en la página de inicio de sesión? ¿Y qué pasa con otras páginas no autenticadas como restablecimientos de contraseña?