Почему политики одного происхождения недостаточно для предотвращения CSRF-атак?

Этот вопрос старый, но я думал, что предлагаю альтернативу с помощью .bind () - для потомков ES5. :)

function some_func(otherFunc, ev) {
    // magic happens
}
someObj.addEventListener("click", some_func.bind(null, some_other_func), false);

Просто имейте в виду, что вам нужно настроить свою функцию прослушивания с первым параметром в качестве аргумента, который вы передаете в bind (ваша другая функция), а второй параметр - это событие (вместо первого, как и было бы).