Token CSRF necessário ao usar a autenticação sem estado (= sem sessão)?
É necessário usar a proteção CSRF quando o aplicativo depende da autenticação sem estado (usando algo como HMAC)? Exemplo: Temos um único aplicativo página (caso contrário, temos de acrescentar o token em cada link: <a href="...?token=xyz">...</a>. O usuário se autentica usando POST...