Как мне подсказали (спасибо, Kesha) плагин Anti-XSS attack всё-таки можно обойти. Если кратко, то в плагине проверяется вхождение «родного» адреса в адрес реферера. Таким образом можно сформировать url, содержащий адрес атакуемого сайта и выполнить POST. Плагин в данном случае не сработает, поскольку в referer будет содержаться адрес атакуемого сайта.

По этой причине я переписал плагин. Теперь он строго проверяет входящий и «родной» host'ы и в случае несовпадения выдает соответствующее предупреждение.

Если вы использовали предыдущую версию, то я бы рекомендовал его обновить. Текущая версия 0.4 beta.

Плагин «Anti-XSS attack» ⁸¹

]]> ]]>