Я борюсь с защитой веб-форм от махинаций (ранее наша веб-форма "свяжитесь с нами" отправляла содержимое формы на ASP, который генерировал электронные письма, что делало ее уязвимой для атаки со страницы за пределами нашего веб-сайта, поскольку URL был в форме действия). Пытаясь бороться со спамом, я изменил классическую страницу ASP на POST обратно, прежде чем отправлять на другой ASP, который обрабатывал электронную почту. Я использовал код, найденный на сайте 15 секунд , чтобы предотвратить многократную отправку, и изменил все опубликованные переменные на переменные сеанса перед повторной публикацией его на странице HTTPS. Я включаю скрытое поле ввода с идентификатором сеанса в нем и на странице на стороне HTTPS проверяю, что во всех полях есть данные, и проверяется, что переданный идентификатор сеанса соответствует текущему идентификатору сеанса.
Я бы хотел бы , чтобы думать, что это довольно безопасно (если не считать всего этого в HTTPS), но я не уверен. Оставляет ли исходная ASP отправка обратно самому себе перед публикацией на странице HTTPS дыру, которую можно использовать? Я перепроектировал одну часть, оставив другую широко открытой?