Kazuho@Cybozu Labs

　CSRF 対策では、フォームの hidden パラメタに、なんらかのトークンを埋め込むことで、第三者によるフォーム偽造を防止するのが一般的です。しかし、 CSSXSS を用いて、そのトークンを第三者が読み出せてしまうという点が、問題をややこしくしているように思えます^注2。

　しかし、 JavaScript を用いて良い環境では、単純な対策が存在すると思います。 HTML 内にあらかじめトークンを埋め込んでおくのではなく、フォーム送信時に、ブラウザ側でトークンを埋め込むようにすればよいのではないでしょうか？

<form method="POST" onsubmit="this.csrf_key.value = get_session_id()^注1">
...
<input type="hidden" name="csrf_key" value="">
</form>

　こうすれば、たとえ CSSXSS によって第三者がページを読んでしまったとしても、トークンが流出することはありません。また、複数ウィンドウの競合といった問題もありませんし、既存アプリケーションの書換も最小限で済みます。

　議論を追っていたわけではないので、既出だったらごめんなさい。

参照:
 CSRF対策に「ワンタイムトークン」方式を推奨しない理由 (高木浩光＠自宅の日記)
 Re: 高木浩光＠自宅の日記 - hiddenパラメタは漏れやすいのか？ (めもおきば)
 CSRF と CSSXSS に関する議論について (CSRF と CSSXSS に関する議論について)

注1: document.cookie からセッション ID を読み出す関数を実装する必要があります
注2: 17:01 追記 - hidden フィールドにトークンが埋め込まれた HTML を返す手法は、(そのトークンがセッションIDであろうがなかろうが) CSSXSS + CSRF 攻撃に対しては脆弱です。