http://www.jumperz.net/texts/csrf.htm
なかなか参考になります。
CSRFについてはちと考えてることがあるので、暇が出来たら書きたいなぁ。
しかし、この部分がわからん。

まず、アプリケーションの作りとして、リクエスト1が必ずPOSTを用いるような形にする。これによってCSSXSS脆弱性を利用したhiddenフィールドの情報の抜き取りを防ぐことができる。

ちとFireFox、IEで試してみたけどPOSTで表示しても、JAVAScriptでhiddenフィールドの情報が抜き取れるなぁ。CSSXSSだと抜き取れないのかなぁ？
あーそういうことか、POSTだからGETであるCSRFじゃ無効ってことかなぁ？
しかし、POSTでリクエスト1を要求して、その内容を取得してJavascriptでリクエスト2を呼び出すJavascriptのあるページをGETで呼びだしゃどうなるかなぁ？
なんとなくCSRFが利きそうな気がするんだけど・・・