Non necessariamente la pagina hackerata deve far parte del programma/sito attaccato: è sufficiente che l’utente, autenticato sul Sito_A (sito attaccato) visiti una pagina malevola sul Sito_B (sito controllato dall’hacker), la quale pagina rediriga al Sito_A con query string ad hoc.

Ecco: da questo come ci si difende?

Io (il Sito_A) posso fare tutti gli escaping possibili, ma se lo stesso browser dello stesso utente autenticato, che nel frattempo sta visitando un "sitaccio" mi chiama una pagina PHP con certi parametri (costruiti apposta) in GET, io... che posso fare??

Richiesta di "ok?" no, perchè bypassarla è un attimo...