Esta respuesta describe una situación en la que se puede usar CSRF para engañar a un usuario final para que ingrese una tarjeta de crédito en la cuenta de Paypal de otra persona. También destaca el hecho de que las solicitudes GET que cambian de estado son tan malas como las solicitudes POST.
Esto es bastante simple de entender cuando se trata de una única autenticación basada en formularios. Pero si introducimos un sistema de autenticación basado en GET y POST en diferentes dominios que no "poseemos", no estoy seguro de cómo prevenir el CSRF en esa situación.
Si extendiera esto a OpenID, ¿significa esto que un usuario podría inyectar sus credenciales de OpenID en mi sesión?
¿Cuál es la forma correcta de abordar este problema?