Иногда бывает оправдано отключение защиты CSRF?

Я думаю о формах входа в систему, в частности:

По своей природе формы входа в систему блокируют действия при произвольном вводе - без действительного имени пользователя и пароля вы просто получаете отказ. Есть ли причина, по которой они вообще нуждаются в добавлении Authentication_token или аналогичной защиты от подделки межсайтовых запросов?

Мне любопытно, являются ли формы входа в систему одним из примеров, когда CSRF вообще может быть нежелательным:

Для анонимного клиента должно быть разрешено, что первая точка контакта с сайтом - это POST действительные учетные данные для входа. CSRF предотвращает это прямое взаимодействие, сначала требуя, чтобы клиент выполнил GET, чтобы установить анонимный файл cookie сеанса, который используется в качестве основы для их токена аутентификации. Затем токен должен быть отправлен обратно с учетными данными для входа. Дополнительный предварительный шаг кажется бессмысленным, когда фактическая цель здесь - аутентифицировать пользователя, который приходит без сеанса и пытается предоставить свои учетные данные.

Я упускаю какие-то соображения безопасности в этом сценарии?