¿Cuál es el nivel de vulnerabilidad si el token anti-csrf no se envía con cada solicitud de publicación? (Si los niveles de vulnerabilidad fueran altos, medios y bajos). Entiendo que para las funciones críticas como el inicio de sesión, etc., debería incluir el token csrf.
¿Qué factores debo considerar al decidir si implementar o no CSRF para cada conjunto de solicitudes permitidas en una aplicación web?
Actualización: encontré esto artículo aquí que explica la necesidad de token CSRF para cada solicitud Es interesante que cada vez más aplicaciones web lo estén considerando para cada solicitud.