На моем сайте я могу активировать определенные вещи, используя запрос GET, например, возможность скрыть или удалить комментарий. Я не очень беспокоюсь, но было бы очень неприятно, если бы кто-то разработал атаку, используя img src= url для удаления комментариев или электронных писем. Есть ли способ предотвратить это?
Я использую httponlycookies для данных входа. если кто-то делает img src или вариант, будет ли запрос отправлять действительные файлы cookie для входа? я должен использовать POST вместо этого? Может ли POST замедлить работу сайта? Файлов cookie очень мало, поэтому браузер может отправлять файлы cookie и POST с одним пакетом, однако я не знаю, должны ли POST и файлы cookie быть отдельными.
во всех этих ответах, кажется, есть что рассмотреть, не упомянутое в других 3. Поэтому я превращу это в вики, чтобы люди могли быть более информированными, вместо того, чтобы смотреть на принятый ответ.