La raccomandazione generale è di includere un token anti-contraffazione in tutte le richieste POST, ma è necessario per il modulo di iscrizione alla newsletter via e-mail?
Molti siti a scorrimento a pagina singola hanno un modulo di iscrizione via e-mail sulla pagina e l'uso di token anti-contraffazione può avere implicazioni sulle prestazioni dal momento che i token anti-contraffazione e il caching non funzionano bene insieme.
Dipende.
Hai solo bisogno di protezione contro CSRF per endpoint che sono protetti con una sorta di autenticazione. La ragione per cui l'hacker deve ingannare il browser delle vittime nell'invio della richiesta (cioè "fustigarla") è che l'attaccante non conosce il cookie di sessione, quindi non può semplicemente inviarlo dalla propria macchina.
Quindi per un modulo di newsletter ordinario, dove non esiste l'autenticazione e basta inserire il tuo indirizzo e-mail e premere invio, non è necessaria la protezione CSRF. Se voglio firmarti contro la tua volontà, inserisco la tua email e la faccio da sola.
Tuttavia, se il modulo è dietro l'autenticazione e forse l'indirizzo email è recuperato dal database utente, allora è una storia diversa.