Yerf!

Aber wenn ich schau wo der Request herkommt (ich bewege mich auf unbekannterem Terrain), dann kann ich sowas ja unterbinden.

Damit wäre ich vorsichtig... es gibt keinen verlässlichen Weg die Herkunft von Daten zu prüfen (Der zufällige Schlüssel der den Request identifizieren soll hilft hier nicht, da dieser ja ebenfalls von einem Tool gelesen und wiederverwendet werden kann). Eine Serverseitige Prüfung auf Gültigkeit der Daten ist leider das einzige was einem bleibt. Das ist aufwändig, aber eben der preis, den man zahlen muss, wenn die Anwendung *einfach so* in jedem Browser laufen können soll.

Ein Java-Applet wäre schwieriger zu knacken, allerdings ist auch das nicht ganz unmöglich (man könnte sich den Code per decompiler anschauen und die Kommunikation mit dem Server nachbauen). Außerdem setzt dies ein Java-Plugin beim User voraus.

Gruß,

Harlequin