HTML5におけるCSRF対策の注意事項 | Opentone Labs.
を読んでいて,攻撃対象のレスポンスヘッダにAccess-Control-Allow-Origin: *とかが付いてないとSame Origin Policyに引っかかって失敗する気がして,気になって,はてブにそのこと書いたら id:teppeis さんが教えてくれた.*1
id:side_tana レスポンスが読めないだけで一方的にリクエストすることは可能です。
なるほど確かに!! という感じ.teppeis さんありがとうございました!!!