Je l'ai retiré car le bouton n'était en fait qu'un simple lien. Le lien en question exécutait la fonction de suppression du message en question via méthode GET, du coup le simple fait de cliquer sur le lien supprimait le message. Ca offrait donc la possibilité d'exploitation d'une faille CSRF, notamment envers un modérateur pour lui faire supprimer la totalité des message sur la shoutbox a son insu via une boucle PHP dissimulée dans une page ou une image par exemple.
J'ai donc corrigé ça en interne, en imposant une requête POST et en retirant le bouton présent dans la pop-up par simplicité. J'ai laissé le bouton de suppression dans le menu déroulant et celui-ci génère une pop-up de confirmation, qui envoie une requête POST.