Hallo Matthias,

<input type="hidden"> gehört da nicht zu. Das sind Form-Elemente, mit denen der Server ganz bewusst Daten am Client platzieren kann, während ein Form bearbeitet wird. Beim POST des Forms kommen sie dann wieder zum Server zurück. Ein hidden input kann ein Ersatz für eine Session sein, es kann dazu dienen, Bots das Leben zu erschweren (ein Form wird nur akzeptiert, wenn in einem hidden input ein Einmalwert steht, den der Server parallel in der Session speichert), es kann aber auch genutzt werden, wenn auf einer Seite viele kleine Forms liegen und man in den POST-Daten eine Info haben will, welches davon submitted wurde.

Wird es als Sessionersatz verwendet, muss man das Element kryptographisch signieren, damit es nicht manipuliert werden kann.

Eine Bot-Abwehr ist damit nicht möglich, der Bot muss lediglich soweit aufgeschlaut werden, dass er das hidden-Element erkennt und mit postet. D.h. man fördert damit die Bot-Evolution, verhindert aber nicht wirklich was. Damals im carcassonne-online Forum hat es aber gereicht, um die Passwortdurchprobierbots zu stoppen, die uns wegen zu vielen Fehlversuchen ständig die User gesperrt haben 😁. Lang ist's her, länger als Corona 😟

Jedenfalls macht man solche Elemente nie sichtbar und sie sind auch nie für Assistenztechniken relevant.

Rolf