Возможна ли атака JSON CSRF / Theft?

Я прочитал эту статью: http://jeremiahgrossman.blogspot.com/2007/01/gmail-xsrf-json-call-back-hackery.html

И я попытался использовать метод, но кажется, что он не работает (по крайней мере) в большинстве браузеров, которые я пробовал. Обычно вы возвращаете JSON на свой сайт, а кто-то другой выполняет , а затем вы настраиваете свои собственные конструкторы объектов / массивов для кражи данные.

Это все еще возможно в современных браузерах? Следует ли мне использовать токены, чтобы предотвратить это?