Lösungen

Bei allen Aktionen, die auf dem Server etwas auslösen, auf REQUEST_METHOD=POST prüfen.
Das schränkt die Angriffsmöglichkeiten etwas ein, für einen Angriff muss auf der Angreiferseite Javascript ausgeführt werden
Dank Firefox- und Opera-Einstellungen kann man das bei fremden Seiten ausschalten
Reicht aber als Schutz nicht

Bei allen Aktionen, die auf dem Server etwas auslösen, auf REQUEST_METHOD=POST prüfen.