Ich bin hier wahrscheinlich ein absoluter Noob, aber ich bin mir immer noch nicht sicher, was genau ein CSRF-Angriff (Cross-Site Request Forgery) ist. Schauen wir uns also drei Situationen an ...

1) Ich habe ein POST-Formular, mit dem ich Daten auf meiner Site bearbeite. Ich möchte, dass diese Daten bearbeitet werdennur von angemeldeten Benutzern.

2) Ich habe eine Seite, die sowohl von angemeldeten Benutzern als auch von Gästen genutzt werden kann. Teile der Website sind nur für angemeldete Benutzer bestimmt, es gibt jedoch auch POST-Formulare, die von allen Benutzern verwendet werden können - anonym und nicht (zum Beispiel ein Standard-Kontaktformular). Soll das Kontaktformular vor CSRF-Angriffen geschützt werden?

3) Ich habe eine Site, die überhaupt kein Authentifizierungssystem hat (na ja, vielleicht ist das unrealistisch, also nehmen wir an, sie hat eine Admin-Site, die vom Rest getrennt ist und der Admin-Teil ist ordnungsgemäß geschützt). Der Hauptteil der Website wird nur von anonymen Nutzern genutzt. Müssen die POST-Formulare darauf geschützt werden?

Im Fall von 1) lautet die Antwort eindeutig Ja. Aber im Fall von 2 und 3 weiß ich nicht (und ist der Unterschied zwischen 2 und 3 sogar signifikant?).