私はおそらくここでは初心者ですが、CSRF (クロスサイト リクエスト フォージェリ) 攻撃が正確に何であるかについてはまだ確信が持てません。それでは、3つの状況を見てみましょう...
1) サイトのデータを編集するために使用する POST フォームがあります。このデータをログインしているユーザーだけが編集できるようにしたい。
2) ログインしているユーザーとゲストの両方が使用できるサイトがあります。サイトの一部はログイン ユーザー専用ですが、すべてのユーザーが使用できる POST フォームもあります (たとえば、標準の連絡フォームなど)。お問い合わせフォームを CSRF 攻撃から保護する必要がありますか?
3) 認証システムがまったくないサイトがあります (まあ、それはおそらく非現実的です。残りの部分とは別の管理サイトがあり、管理部分が適切に保護されているとしましょう)。サイトの主要部分は、匿名ユーザーのみが使用します。その上の POST フォームを保護する必要がありますか?
1) の場合、答えは明らかにイエスです。しかし、2 と 3 の場合はわかりません (また、2 と 3 の違いは重要ですか?)。