認証のないウェブサイトはCSRFに対して脆弱ですか？

Question

私はCSRFについて学び始めました。

OWASP CSRF Articleあたり

CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated

としてウェブサイトでは、すべてのユーザー認証を受け入れないか、認証情報がクッキーに保存されていない場合、それはそれは、CSRFに対して脆弱ではないことを意味していた場合。

私は正しいユーザーが彼のクレジットカード情報を提供する必要があるページに移動し、彼の記録が更新される場合、チケット情報を入力し、データベースと情報をチェックするウェブサイトを開発しました。 CSRFについて心配する必要はありますか？またはチケット情報自体は認証と見なされますか？

Answer 1

サイトでユーザーが特権的な操作を行うことを許可するセッションを使用している場合は、クロスサイトリクエストの偽装について心配する必要があります。ユーザーのチケット情報が有効であることを示すセッションプロパティを作成すると仮定しているので、そうします。