De forma predeterminada, tengo protección CSRF para todos mis formularios con un token.
Sin embargo, noté otra aplicación web que tiene una función similar a una de mis formas. Y no usaron el token CSRF.
Así que asumí que no protegían contra el ataque CSRF para esa forma.
Entonces
pregunta 1) aparte del token CSRF, no debería haber otra forma de protegerse contra CSRF, ¿verdad?
Supongo que la respuesta es que esta es la única manera. por lo tanto mi pregunta principal es
pregunta 2) ¿cuándo no debe utilizar la protección CSRF?
Conozco una posible instancia que es cuando el formulario POST está dirigido a direcciones URL externas.
Lo leí en django docs .
¿Hay otros casos en los que no debería usar la protección CSRF o es innecesario?
ACTUALIZAR
a) otros métodos de protección CSRF incluyen la autenticación de usuario
b) PUEDE escapar sin protección contra CSRF para formularios POSTBACKs cuando no requiere que el usuario inicie sesión. (vea las respuestas y comentarios de nbnh)