[lcamtuf.coredump.cx]
Cette page recense différentes formes d'attaque (dont XSRF). Pas encore eu le temps de lire mais ça a l'air bigrement intéressant.
Ça explique aussi la raison pour laquelle Google ajoute while(1); au début de tout json renvoyé par des services comme GMail: http://stackoverflow.com/questions/3146798/why-do-people-put-code-like-throw-1-dont-be-evil-and-for-in-front-of
à mon avis, une lecture à garder sous le coude sur la sécurité web.