Ochrana URL
- uživatel je přihlášený
- JS může otevřít odkaz na pozadí, který provede akci (např. mazání mailů) a využije přihlášení uživatele
- uživatel o ničem neví
- ochrana:
- ověřovat vždy referer (bohužel není povinný)
- používat CAPTCHA (problémy s přístupností a použitelností)
- používat jiný způsob potvrzení (SMS, autorizační klíčenky
- do každého formuláře ukládat dočasný token (JS jej ale může načíst před potvrzením akce)
www.softeu.cz