Hallo,

Ich habe allerdings nichts (einfaches) um mir eine Zufallskennung des Formulars zu merken, so wie das ja eigentlich üblich ist. … Eine andere Überlegung ist z.B. Sessions zu missbrauchen.

Wieso ist das ein Missbrauch? Genau dafür sind Sessions gemacht, um mehrere Requests miteinander zu verknüpfen und serverseitig Daten in diesem Kontext zu speichern.

Du überprüfst, ob der übermittelte Token dem Token auf dem Server (in den Sessiondaten) übereinstimmt.

Die Zufallszahl aus dem Formular wird als SessionID genutzt.

Keine gute Idee, das solltest du trennen. (Was auch viel einfacher ist, als es *nicht* zu trennen.)

Die Session bleibt immer dieselbe, die Zufallszahl aus dem Formular hingegen ändert sich während der Session, z.B. wenn ich das Formular zweimal korrekt ausfülle.

Mathias