Ahogy látom nem nagyon, sikerült távolról postolnom az egyik topikba. Referer ellenőrzés + a fontosabb helyekre (pl. beállítások) egyszer használatos, userhez és eseményhez köthető tokent kellene generálni. Most technikailag egy jól megírt URL-lel vagy egy megtévesztő oldallal ugyan azt el lehet érni mint amit védeni akartok.