CSSXSSはIEの問題なのでIEを修正すべきという原則と、とはいうもののWebアプリの開発者側で現実的な回避策としてCSSXSSによるCSRFは防げるのなら防ごうよというあたり、どういう流れになるのかおもしろいですね(無責任モード)。
ただ、開発者みんながみんな黙って「現実的な回避」な方向に走ってしまうと、それはそれでIEの問題は脅威ではなくなってしまうので、さらに修正されなくなるかもという脆弱性スパイラルに突入するかも。
やっぱりここは、Webアプリ開発者が「安全なWebアプリを作りたいけれど、IEのおかしな仕様にあわせるために開発側ではこんなに苦労してるんだっ」という声を上げないといけないんですかね。でも、ワンタイムトークンを使うかセッションIDを使うかなんてのは、「苦労してるんだ」には入らないんでしょうね…。