È potenzialmente un attacco DOS, anche se solo per alcuni scenari molto specifici. Se Alice vuole dare a Bob l'accesso al suo account Netflix, ma non vuole rivelare la password, può accedere a Netflix sul computer Bobs. Se Bob visita MaliciousLogoutSite.com, verrà disconnesso da Netflix anche se non intendeva farlo.
C'è anche un potenziale per l'interruzione degli utenti. Se Alice sta guardando un film su Netflix, quindi naviga casualmente su MaliciousLogoutSite.com, verrà disconnesso da Netflix, interrompendo il film.
Per Netflix, questo è un fastidio minore, ma cosa succede se Alice è registrata in un sito di trading azionario e Bob vuole impedire ad Alice di acquistare o vendere un titolo in un momento critico? Tutto ciò che Bob deve fare è inviare ad Alice un link a un sito web che la registra dal suo account di trading, e lei deve riconnettersi di nuovo.
Non conosco alcun motivo per cui un'azione di disconnessione non dovrebbe essere protetta dalle azioni CSRF, ma non ci ho pensato profondamente.