Какие опасности может представлять удаление csrf-защиты для запросов аутентификации?
Регистрация пользователя идет на поддомене, при этом после нее надо залогинить пользователя на основном домене (или, в будущем, на другом поддомене).
Вышел из ситуации так: пользователь успешно регистрируется, далее в скрытую форму вставляются указанные логин/пароль и она сабмитится на основной домен на /login.
При этом потребовалось исключить данный роут из csrf-защиты.
Насколько это разумно применять? Таки просто логинизация сразу после регистрации.
Еще думаю сделать отдельный для этого роут, а чтобы предостеречь от попытки взлома пользователей, при первом логине "защелкивать" в БД поле, чтобы в дальнейшем, если юзер уже логинился хоть раз, по этому роуту просто выдавался редирект.
