Как правило, нет.Атака, о которой вы говорите, является подделкой межсайтовых запросов (CSRF).Этот тип атаки зависит от пользователя, вошедшего в систему (если вы вошли на сайт A, а сайт B и сайт A знают об этом, они могут поместить HTML-код, который приведет к тому, что запрос перейдет на сайт B, который будет выглядеть какВы инициировали его и можете стать причиной выполнения чувствительного действия).Эти атаки основаны на том, что браузер отправляет файл cookie / токен сеанса со всеми запросами к рассматриваемому сайту (сайт A включает в себя запрос к сайту B выполнить действие X, в результате чего браузер отправляет запрос на сайт B, таким образом, включая все файлы cookie(включая файлы cookie сеанса, которые должны быть отправлены на сайт B с этим запросом).
токены anti-CSRF работают, потому что при отправке клиенту формы запроса вы включаете неосуществимое значение, которое клиент должен отправить обратнос их запросом действия.Если он возвращается, вы знаете, что запрос на выполнение действия возник из формы, которую вы отправили клиенту.Если он не возвращается, запрос может быть подделан, поэтому вы должны его игнорировать.Если код на сайте A вызвал отправку запроса на сайт B, даже с использованием файла cookie сеанса для сайта B, код на сайте A не будет знать значение токена anti-CSRF для включения, поэтому поддельный запрос будет отклонен.
Итак, если вы пытаетесь защититься от CSRF-атак на свой сайт, вам необходимо включить эти токены во все формы, которые могут инициировать чувствительные действия, чтобы предотвратить использование поддельных запросов вошедшими в систему пользователями.Эта защита не имеет значения для пользователей, не вошедших в систему, поскольку другой сайт не может использовать тот факт, что браузер отправляет файл cookie / токен сеанса со всеми запросами, если пользователь не вошел в систему.