Hallo Thomas,

Genau. Diese Loesung kam mir auch noch in den Sinn.
Das Formular darf IMHO durchaus sichtbar sein.
Zumindest als Submit-Button "Weiter..." oder so
stoert dieser Workaround ja kaum.

Ja, ich meine ich hätte das auch schon mal als User irgendwann irgendwo so gesehen und benutzt.

Dann wuerde das Formular ja wieder vom Browser selbst
per POST abgeschickt.

Das war auch mein Gedanke dahinter ;-)

Dumm nur, wenn das verarbeitende Skript auf den Referer prueft...

Also wenn ich das so verstehe das man prüft - "wo kommt der den eigentlich her?" - hab ich noch nie gemacht. Wenn ich was schützen will generiere ich eine codierte (MD5) URI und setz die per header() ab, oder nicht?

Auf JavaScript sollte man sich nicht verlassen...

FullACK! Deshalb nutze ich das auch so gut wie nie, vielleicht mal in einem Adminbereich der Komfortabelität wegen ;-)

(Und ich hoffe, dass das automatische Abschicken
bei anstaendigen Browsern gar nicht moeglich ist.)

FullACK, Zumindest der Mozilla frägt bei immer nach, kann man aber auch denke ich ausschalten :-)

Grüsse AndreD