クロスドメインでごにょごにょしたい、とか考えて、iframeを使っていたところ、
iframeに対してcss(position: absoluteとかoverflow: hiddenとか)をうまくつかうと、
他サイトの特定部分(座標指定)を埋め込むことが容易に出来てしまう。

CSRF対策として、処理前ページにhidden tokenを埋め込んでいたとしても、
処理前ページをiframe内に表示させて、巧妙に実行ボタンを押させるという
仕掛けを作ると、成功確率は高くないかもしれないが、CSRFっぽいことが
できてしまうのではないだろうか？

ログイン直後から、ずっとtokenをhidden等で引きずり回していれば、
回避できるような気がするが、そういう実装はかなり面倒だろう。

さて、どうしたものか。