Требуется проверка CSRF или нет при использовании RESTful API?
На странице FOSRestBundle написано следующее:
«Проверка CSRF
При создании одного приложения, которое должно обрабатывать формы как с помощью HTML-форм, так и с помощью REST API, возникает проблема с проверкой токена CSRF. В большинстве случаев необходимо включить их для HTML-форм, но нет смысла использовать их для REST API. По этой причине существует расширение формы для отключения проверки CSRF для пользователей с определенной ролью. Это, конечно, требует, чтобы пользователи REST API проходили аутентификацию и получали специальную роль ».
Это объяснение правильно? Не могли бы вы объяснить, почему это правильно?
Спасибо!