Действительно ли мы защищены от CSRF?

confirm.php

  Php
  session_start ();
  $ токен = md5 (uniqid ());
  $ _SESSION ['delete_customer_token'] = $ токен;
  session_write_close ();
 ?>
 

 
Вы действительно хотите удалить?
 

confirm_save.php

Допустим, у нас есть типичная защита от CSRF, подобная этой Что, если злоумышленник использует этот код для обхода токена csrf?

//On any site


//csrf.php
$cont = get_file_contents("http://cia.google.com/confirm.php");
// parse the html using [PHP Simple HTML DOM Parser][2] and get the CSRF token
//CURL and send a POST request to confirm_save.php with the token

Меня это беспокоит, но я слишком ленив, чтобы пытаться атаковать любой случайный сайт. Разве это невозможно?

Пример кода был украден из , предотвращающий csrf в php

Обновлено

Что происходит, когда кто-то хочет передать токен с одной платформы на другую или со стороны сервера на сторону клиента ? Например, Flash на PHP, как его защитить от csrf?