Является ли сайт без аутентификации уязвимым для CSRF?

Question

Я только начал узнавать о CSRF.Согласно статье OWASP CSRF

CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated

Если веб-сайт не принимает какую-либо аутентификацию пользователя или если данные аутентификации не хранятся в файлах cookie, означает ли это, чтоне уязвим для CSRF.

Я разработал веб-сайт, который просит пользователя ввести информацию о своем билете, проверяет информацию в базе данных, если правильный пользователь перейдет на страницу, где ему необходимо предоставить информацию о своей кредитной карте и егозапись будет обновлена.Нужно ли беспокоиться о CSRF?Или сама информация о тикете считается аутентификацией?

Answer 1

Вам следует беспокоиться о подделке межсайтовых запросов, если ваш сайт использует сеансы, которые позволяют пользователям выполнять привилегированные действия. Поскольку я предполагаю, что вы создаете свойство сеанса, указывающее, что информация билета пользователя является действительной, да, вы делаете.