XSRF тут не при чём реально всё зависит от конструкции скрипта, а простор очень велик, от тривиального увода печенюшек, до дефэйса к примеру при определённых условиях или к примеру получения доступа в админку при хорошем знании конструкции онной, так что всё зависит от прямоты рук использующего уязвимость...