Обнаружил, что на сайте в таблице есть тысяча спамных писем, разославшиеся с интервалом 4 секунда.
Сообщения отправлять могут только зареганные юзеры. Так что технически самостоятельно невозможно самостоятельно разослать на сайте.. Значит, сделали post_запрос с другого сервера, отправив данные зареганого пользователя и текст сообщения.
На сайте включена защита _csrf, проверил, (если _csrf в форме изменить, то будет ошибка "Bad Request (#400)Не удалось проверить переданные данные." )
Разве _csrf не должна защищать от поддельных запросов?
Вопрос про _csrf и спам
Re: Вопрос про _csrf и спам
Берут токен из <input type="hidden"> в форме и отправляют его же.