Hallo,

Wenn ich es zusammenfasse ist dann aber eine kurze Sessionlaufzeit (sie steht momentan bei 4 Stunden) kombiniert mit der Übergabe der Sessionid an jedem request das sauberste und die sicherste Lösung des Problems, korrekt?

Ich weiß ja nicht, wie Deine Formulare kommen. Aber wenn für jeden Request ein neues Formular angefordert wird, kannst Du es auch mit einer eindeutigen ID versehen. Hier wird das z.B. auch gemacht. Wenn Du diese ID serverseitig noch an die Session-ID koppelst, kann man nicht einfach so selbstgebastetlte Formulare abschicken.

Gruß, Andreas