помимо поисковиков можно ещё пожаловаться хостеру и регистратору доменных имён. Были случаи что отзывчивый хостер реагировал на жалобу и банил нарушителя.
Как по-вашему работает CSRF атака? Левый сайт не может увидеть куку, но он может послать любой запрос с помощью JS на ваш сайт, и браузер передаст все куки. Таким образом, запрос будет авторизован, и атакующий может, например, удалить ваши данные. Видеть куку при этом необязательно. Так работает CSRF.
66demon666, хорошо, но при этом этот уникальный ключ также попадает в сессию, а сессия на куках. То есть фактически чтобы пройти CSRF защиту, нужно передать сессионную куку, верно? Если да, то это не защита от CSRF.
А вообще говоря эта задача не решается курлом. Ютуб запрещает выкачивать его видео. Поэтому легкого способа (взять ссылку на файл из html) не существует. Если вы всё-таки умудритесь достать видеопоток программно, ютуб очень быстро начнёт отдавать 402 ошибку именно вам, за абьюз сервиса. После этого нужно начинать колупаться с прокси.
Но существуют библиотеки и гора сервисов, которые обходят эти проблемы. Если вам нужно скачать одно видео, используйте лучше их.
Скорее всего в этой задаче вам не критично получать данные в реальном времени. Поэтому есть вариант всё аккуратно подготовить отдельным скриптом, который запускается в бекграунде по расписанию. Этот подход даст вам кучу преимуществ
отсутствие проблем с производительностью у пользователя (чтение будет всегда из вашего кеша)
гибкость. Если требования изменятся, гораздо проще будет передлать произвольный скрипт, чем единственный монстр-запрос
простота, читаемость и поддерживаемость кода. Решение скорее всего выйдет более очевидным, чем запрос-Франкенштейн