Security 公共联系人表单是否需要CSRF令牌？

比如说，我们的网站上公开了一个简单的联系方式。FE应用程序向BE服务发出请求，并在那里以某种方式进行处理。它不需要任何身份验证，所以每个人都可以提交一个请求，就这样

当我看的时候，上面的例子似乎不属于这个范围。 联系人请求中没有经过身份验证的用户上下文，因此我看不到CSRF令牌能够阻止的任何攻击场景

是否有人可以确认这种方法，或者提出一种CSRF有意义的攻击场景。

也许值得补充的是，我们不保留任何用户会话。我们有一个由Nginx提供服务的SPA（角度），我们只使用无状态承载令牌对BE服务进行身份验证（基于SSO）。 因此，上面的内容似乎是使用CSRF令牌的另一个障碍，因为我们没有存储任何会话对象来验证be中的CSRF令牌。

---

使用cookie将令牌传输到浏览器在这里似乎也无效，因为Nginx正在为应用程序提供服务，因此我们无法执行cookie附带的任何令牌验证。

只有当用户通过身份验证并发送资源更改请求时，您才是正确的CSRF交易

由于不涉及身份验证，因此攻击者无法滥用用户权限来执行某些操作

因为每个人都可以发送表格

我能想到的唯一一种情况是，您可能需要为公共表单提供CSRF保护，即添加一些半身份验证用于检测DDOS。例如：

您使用一种机制来验证每个ip地址，每天只能发送一个请求，而无需请求验证码

因为您正在对它们进行半身份验证（一个用户不等于其他用户）

攻击者可能会使用CSRF攻击通过您的DDos保护

---

他/她可能会向网络发送恶意软件，每个节点都可以发送表单，并采取基于IP的应用程序级DDOS防护（半身份验证）

谢谢，我们已经有一个带有web防火墙的DDOS防护，因此我们对此应该没有问题