hallo > Hallo Rolf, > > und wie würdest du dann in diesem Fall vorgehen: > > 1. User füllt eine To-Do aus, das Formular wurde noch nicht abgeschickt > 2. User lädt im Hintergrund über einen Ajax Upload Dateien/Bilder zu dieser To-Do hoch. > > Beide sollen später wieder zueinander finden. Also benötige ich eine passende ID für beide Bereiche. Wenn ich eine ID/einen Code erst beim Insert erzeuge finde ich die Bilder nie wieder. Ich gehe davon aus, dass du ein SessionID_Token als Cookie hast. Ich gehe davon aus, dass du ein CSRF_Token hast, das vom SessionID_Token abgeleitet ist, und explizit NICHT im Cookie gesendet wird sondern als Teil von Form-Data. Genau dieses CSRF_Token lässt sich verwenden, um User-Uploads sauber zu trennen. Denn dieses ist auf jeden Fall überprüfbar.

hallo > Hallo Rolf, > > und wie würdest du dann in diesem Fall vorgehen: > > 1. User füllt eine To-Do aus, das Formular wurde noch nicht abgeschickt > 2. User lädt im Hintergrund über einen Ajax Upload Dateien/Bilder zu dieser To-Do hoch. > > Beide sollen später wieder zueinander finden. Also benötige ich eine passende ID für beide Bereiche. Wenn ich eine ID/einen Code erst beim Insert erzeuge finde ich die Bilder nie wieder. Ich gehe davon aus, dass du ein SessionID_Token als Cookie hast. Ich gehe davon aus, dass du ein CSRF_Token hast, das vom SessionID_Token abgeleitet ist, und explizit NICHT im Cookie gesendet wird sondern als Teil von Form-Data. Genau dieses CSRF_Token lässt sich verwenden, um User sauber zu trennen. Denn dieses ist auf jeden Fall überprüfbar.