@Rolf B

Was ich in deinem Democode nicht entdeckt habe, ist irgendeine Form von Kryptographie.

Wozu auch!? Da gibt es nichts zu krypten.

Und du musst auch Daten in der Session speichern, was nicht erwünscht war.

Es muss ja irgendwo hinterlegt sein, was ausgeliefert wurde. Sonst ist die Validierung nicht möglich.

Eigentlich müsste man doch die Lösung über ein kryptographisches Verfahren in der Abfrageseite hinterlegen können, so dass man beim Eintreffen der Antwort an Hand des private Key einen Vergleich anstellen kann und die Sessiondaten nicht braucht.

Auch hierzu würdest Du eine Session benötigen weil der Schlüssel hinterlegt sein muss.

Ich habe da allerdings keine Übung mit und weiß nicht, ob es klug ist, die Antwort mit einer Zufallszahl zu salzen, diesen Eintopf zu mit RSA oder anderem PK Zeugs zu verschlüsseln und dann das Ergebnis zusammen mit dem Salz als hidden fields auszuliefern.

Es ist egal wie Du es machst. Die Session wird auf jeden Fall gebraucht.

MfG