La recomendación general es incluir un token anti-falsificación en todas las solicitudes POST, pero ¿es necesario para el formulario de suscripción al boletín por correo electrónico?
Muchos sitios de desplazamiento de una sola página tienen un formulario de suscripción de correo electrónico en la página, y el uso del token anti-falsificación puede tener implicaciones en el rendimiento, ya que el token y el almacenamiento en caché no funcionan bien juntos.
Depende.
Solo necesita protección contra CSRF para los puntos finales que están protegidos con algún tipo de autenticación. La razón por la que el atacante tiene que engañar al navegador de las víctimas para que envíe la solicitud (es decir, para "falsificarla") es que el atacante no conoce la cookie de sesión, por lo que no puede enviarla desde su propia máquina.
Entonces, para un formulario de boletín informativo ordinario, donde no se autentica y simplemente ingresa su dirección de correo electrónico y presiona enviar, no necesita protección CSRF. Si quiero registrarte en tu testamento, solo ingrese tu correo electrónico y lo haré yo mismo.
Sin embargo, si el formulario está detrás de la autenticación y quizás la dirección de correo electrónico se obtiene de la base de datos del usuario, entonces es una historia diferente.