AxeleronFatherSqlпропущено...

ну вроде есть
За Вас это уже придумали: Cross-site request forgery
прочитал, там вроде параметры через url передаются, а если на сайте они сделаны через post?

а еще для важных операций можно капчу вводить тут уж так не подделать (ну и понятно смс но это вроде платная штука?)

AxeleronFatherSqlпропущено...

прочитал, там вроде параметры через url передаются, а если на сайте они сделаны через post?
Не знаю где Вы такое прочитали, но явно бред прочитали. Или не поняли.
в вики

AxeleronFatherSqlпропущено...

в вики
Ох уж эта вика!
ну и что там не правильно написано или не дописано?
авторАтака осуществляется путем размещения на веб-странице ссылки или скрипта, пытающегося получить доступ к сайту, на котором атакуемый пользователь заведомо (или предположительно) уже аутентифицирован. Например, пользователь Алиса может просматривать форум, где другой пользователь, Мэллори, разместил сообщение. Пусть Мэллори создал тег <img>, в котором в качестве источника картинки указан URL, при переходе по которому выполняется действие на сайте банка Алисы, например:
Мэллори: Привет, Алиса! Посмотри, какой милый котик: <img src=" http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">
Если банк Алисы хранит ее информацию об аутентификации в куки и если куки еще не истекли, при попытке загрузить картинку браузер Алисы отправит запрос на перевод денег на счет Мэллори и подтвердит аутентификацию при помощи куки. Таким образом, транзакция будет успешно завершена, хотя ее подтверждение произойдет без ведома Алисы.