Am besten verhindert man solche Angriffe mit serverseitigem CSRF-Schutz, der auch viele andere Fälle abdeckt.

Tja, und wie macht man das? :)

Üblicherweise indem man alle URIs, die serverseitige Änderungen vornehmen, durch Tokens schützt. Der steht einmal in dem Formular, von dem der Benutzer die Änderung vornimmt, und wird beim Abrufen des Formulars in der Session auf dem Server gespeichert (wahlweise im Cookie gespeichert). Wenn der Token aus den Formulardaten und der Session nicht übereinstimmen, liegt eine CSRF vor.

JSON-Ausgaben nehmen serverseitig natürlich nicht unbedingt Änderungen vor, daher könnte man sie bei o.g. Schutz immer noch via <script> abgreifen. Aber das wird wie gesagt bereits durch { ... }, Auskommentierung usw. verhindert.

Mathias