¿Token CSRF necesario cuando se usa la autenticación sin estado (= sin sesión)?
¿Es necesario usar Protección CSRF cuando la aplicación se basa en autenticación sin estado (usando algo como HMAC)? Ejemplo: Tenemos una sola aplicación página (de lo contrario tenemos que añadir el token en cada enlace: <a href="...?token=xyz">...</a>. El usuario se autentica...