CSRF no es un problema de la Web. Un servicio web bien diseñado debe ser capaz de recibir peticiones dirigidas por cualquier host, por diseño, con una autenticación apropiada en caso necesario. Si los navegadores crean un agujero de seguridad porque permiten que los scripts dirijan peticiones automáticamente a sitios de terceros con credenciales de seguridad almacenadas, sin ningún tipo de intervención o configuración por parte del usuario, entonces la solución obvia al problema está en el mismo navegador. Fuente

Roy Fielding es el autor en su tesis doctoral del trabajo Architectural Styles and the Design of Network-based Software Architectures que describe REST, un principio clave de la arquitectura de la world wide web. Via Simon Willison.