Какие опасности может представлять удаление csrf-защиты для запросов аутентификации?

Question

[mrSeller]

Регистрация пользователя идет на поддомене, при этом после нее надо залогинить пользователя на основном домене (или, в будущем, на другом поддомене).

Вышел из ситуации так: пользователь успешно регистрируется, далее в скрытую форму вставляются указанные логин/пароль и она сабмитится на основной домен на /login.
При этом потребовалось исключить данный роут из csrf-защиты.

Насколько это разумно применять? Таки просто логинизация сразу после регистрации.
Еще думаю сделать отдельный для этого роут, а чтобы предостеречь от попытки взлома пользователей, при первом логине "защелкивать" в БД поле, чтобы в дальнейшем, если юзер уже логинился хоть раз, по этому роуту просто выдавался редирект.

Answer 1

[Dimonchik]

тут академично

на практике - простой перебор через прокси, связи-то нет

ну а "стырить куки" и т.п. - просто скучно