■CSRF と CSSXSS
・CSRF と CSSXSS は別々の問題
・CSRF は Web アプリケーション(サーバ側)の実装の欠陥
・CSSXSS はブラウザ(Internet Explorer)の欠陥
・であるのだが
    ・Internet Explorer がデファクトスタンダードのブラウザ(シェア 9 割)である事
    ・CSRF と CSSXSS は組み合わせて攻撃に使用可能である事
以上の点を考慮すると「現時点で」具体的な CSRF 対策の手段を講じるにあたって CSSXSS を考慮しない訳にはいかない
※「現時点で」の意味は、将来ブラウザで修正が行われれば CSSXSS について考慮する必要がなくなるため。

■「セッション ID」と「セッション ID のハッシュ値」
・どちらも CSRF 対策として使用可能。CSRF 対策の効果という点において両者に優劣は無い。
・しかし、漏洩が発生した場合(漏洩の経路・手段は関係ない)の事を考えると
    ・「セッション ID」が漏洩するとセッションハイジャック攻撃の材料となる
    ・「セッション ID のハッシュ値」は漏洩しても二次被害は発生しない
・「セッション ID」から「セッション ID のハッシュ値」を計算する実装コストは微々たるもの
・以上の事から、わずかな実装コストでリスクを無くす事ができる「セッション ID のハッシュ値」を使う実装の方が優れていると考えられる。よって、 CSRF 対策として「セッション ID」を使用する実装を選択する理由はない