hrafa, имени формы (атрибута name в теге form) тут нет ни одного. Дописываем сами.

Цитата:


если я хозяин сайта и поставлю на главной такую штуку то зареганные люди на моем сайте при посещении сайта будут автоматически отправлять смс?



Вопрос не понятен. Абстрагируйся от отправки смс, говорим о csrf атаке в целом.
Ты хочешь сделать автосабмит формы на своём сайте? Для этого не нужна xsrf, нужные действия можно и так прокодить если сайт твой.
Хочешь сделать автосабмит формы на чужом сайте через всех посетителей своего сайта? Для этого посетители должны быть авторизованы на атакуемом ресурсе (если там требуется авторизация) и там должна присутствовать csrf уязвиомсть (нет капчи, нет скрытых уникальных идентификаторов формы [aka security token] в её коде).