[Security] Nieświadome ocenianie, Nie wysyłać oceny przez GET? Opcje

[WebCM]

Kod:

[HTML] pobierz, plaintext 
<ul class="rate avg3">
	<li><a href="vote.php?rate=1" class="r1">1</a></li>
	<li><a href="vote.php?rate=1" class="r2">2</a></li>
	<li><a href="vote.php?rate=1" class="r3">3</a></li>
	<li><a href="vote.php?rate=1" class="r4">4</a></li>
	<li><a href="vote.php?rate=1" class="r5">5</a></li>
</ul>
[HTML] pobierz, plaintext 

Chcę umożliwić także głosowanie użytkownikom z wyłączoną obsługą JS (AJAX). Chyba, że to bez sensu?

W przykładzie oceny są wysyłane metodą GET. Bardzo niebezpiecznie, bo użytkownik może zagłosować nieświadomie:

[HTML] pobierz, plaintext 
<a href="vote.php?id=500&ocena=1">Cud na boisku - Polacy wygrali 5:0</a>
<img src="vote.php?id=4&ocena=5" /> - tak, z dowolnego miejsca w Internecie
[HTML] pobierz, plaintext 

Najlepiej wysyłać ocenę metodą POST. Tylko zostaje pytanie:
A. zastosować alternatywny formularz dla użytkowników bez JS
B. oprzeć głosowanie o <input type="image" />, ale prawdopodobnie tracę kontrolę nad gwiazdkami w CSS
C. generować gwiazdki za pomocą JS, a domyślnie wyświetlać tylko ocenę z linkiem do alternatywnego <form>

Chociaż w przypadku POST też jest zagrożenie, że trafisz na stronę ze złośliwym skryptem JS. Tylko znacznie mniejsze.

[Exek]

Najlepiej rzuć głosowanie POSTem, a w linkach generuj jakiś unikalny klucz zapisywany w sesji, sprawdzany w POSTcie.