Hi,

Refferer Auswertung bringt allerdings Probleme sobald ein Browser keinen Refferer mitsendet.

wenn jemand genug kriminelle Energie aufbringt, um das Formular zu simulieren, ist es sehr wahrscheinlich, dass er auch in der Lage (und willens) ist, den Referer (der sich übrigens mit einem "f" und drei bis vier "r" schreibt) zu fälschen. Wie Du schon sagst: Man kann es erschweren, indem man auf welche Weise auch immer einen vorherigen Request verbindlich macht - nur wird niemand daran gehindert, auch diesen Request (automatisiert) durchzuführen.

Wenn es aber jemand partout darauf anlegt Dein Script zu verarschen hast Du keine Chance das zu verhindern, da HTTP nunmal ein Verbindungsloses Protokoll ist.

Japp.

wenn es nicht gerade um Onlinebanking oder so geht.

Für solch sicherheitsrelevante Dinge sollte man a) per SSL arbeiten, b) TANs einsetzen und ggf. c) tunlichst einen eigenen Client liefern (z.B. per Java-Applet), welcher mit einem eigenen Protokoll (bzw. einer eigenen Unterart) agiert. Und sei es nur, um Unterschiede in den vorhandenen HTTP-Clients auszugleichen.

Und mach bitte nicht dauernd neuen Threads auf.

Hm, der letzte Thread von ihm hatte zwar ein ähnliches Subject, aber IMHO eine andere Fragestellung.

Cheatah