Сам недавно ковырялся с защитой на своём проекте, и понял, что без нормальной фильтрации и CSRF-токенов никакая безопасность не работает. Просто блокировать скрипты на клиенте — это шутки. Главное — правельно все обрабатывать на сервере и не забывать обновлять движок, иначе старые дыры моментально найдут.