http://www.jumperz.net/texts/csrf.htm
内容もすばらしいんですが、文章が良いですね。簡潔なトーンだけど過不足無く、必要にして十分て感じ。
あちきもこういう文章を書くことをいつも目指してはいるんですが、じっと手を見る、みたいな（苦笑。
ちなみに、参考URLで触れられている、
http://kaede.to/~canada/doc/csrf-todo
http://kaede.to/~canada/doc/csrf-warning
そして、
http://kaede.to/~canada/doc/anti-csrf-method-and-effect
も勉強になりますねー。
ってか良いテキストを読むとしあわせな気分になるなあヽ(´ー`)ノ
しあわせになったついでに仕事を忘れそうだ（爆笑）。
ていうか、IE普段使いしてなくてほんっと良かったあ、なんて思っちゃいますよ最近ｗ。CSS系の欠陥はIE7ではだいぶ埋まっているみたいなのだけど*1、それも自分自身が握っている欠陥を試してみただけだからなあ。ちょっと不安になっちゃうなーマジで。
…そういえば、関連文献を調べていてe-wordのCSSXSS定義に行き当たったですよ。「へー、こんな新しめのワードまできちんとフォローしてんだー」なんて感心していたら、http://e-words.jp/w/CSRF.htmlのCSRF対策のところがまさに金床さん文書のご指摘通りいまいちだったりして（苦笑）。