Да, 100% CSRF. Но как?
Можно в инфрейме подсунуть пользователю ссылку вида:
http://vkontakte.ru/friend.php?act=addFriend&fid=.........&h=........& first_name=.....&last_name=.......&sex=..
мешает переменная h, имеющая значения в hex для каждого пользователя свое.. эх, если бы знать, как оно генерится...
Такая же фигня при отправке сообщений, комментов и т.д.