[Security] Nieświadome ocenianie, Nie wysyłać oceny przez GET? Opcje

[WebCM]

Kod:

[HTML] pobierz, plaintext 
<ul class="rate avg3">
	<li><a href="vote.php?rate=1" class="r1">1</a></li>
	<li><a href="vote.php?rate=1" class="r2">2</a></li>
	<li><a href="vote.php?rate=1" class="r3">3</a></li>
	<li><a href="vote.php?rate=1" class="r4">4</a></li>
	<li><a href="vote.php?rate=1" class="r5">5</a></li>
</ul>
[HTML] pobierz, plaintext 

Chcę umożliwić także głosowanie użytkownikom z wyłączoną obsługą JS (AJAX). Chyba, że to bez sensu?

W przykładzie oceny są wysyłane metodą GET. Bardzo niebezpiecznie, bo użytkownik może zagłosować nieświadomie:

[HTML] pobierz, plaintext 
<a href="vote.php?id=500&ocena=1">Cud na boisku - Polacy wygrali 5:0</a>
<img src="vote.php?id=4&ocena=5" /> - tak, z dowolnego miejsca w Internecie
[HTML] pobierz, plaintext 

Najlepiej wysyłać ocenę metodą POST. Tylko zostaje pytanie:
A. zastosować alternatywny formularz dla użytkowników bez JS
B. oprzeć głosowanie o <input type="image" />, ale prawdopodobnie tracę kontrolę nad gwiazdkami w CSS
C. generować gwiazdki za pomocą JS, a domyślnie wyświetlać tylko ocenę z linkiem do alternatywnego <form>

Chociaż w przypadku POST też jest zagrożenie, że trafisz na stronę ze złośliwym skryptem JS. Tylko znacznie mniejsze.

[WebCM]

Problem znany, lecz zabezpieczenie trudniejsze. Jest jeszcze jedno rozwiązanie:

[HTML] pobierz, plaintext 
<form method="POST" class="rate">
  <button>1</button>
  <button>2</button>
</form>
[HTML] pobierz, plaintext 

Potem wystarczy przypisać style do przycisków i nałożyć tło, czyli gwiazdki. Jest 1 problem - między przyciskami występuje 1 spacja, gdyż każdy <button> w kodzie znajduje się w osobnej linijce dla lepszej czytelności.

Chociaż pomysł z kluczem jest ciekawy. Tylko gdzie go trzymać? W zmiennej sesji? Zagrożenie związane z GET powinno zmniejszyć się. Chociaż nie... Złośliwy użytkownik umieści na obcym forum "obrazek" o URL = towar.php?id=X, a później URL = glosuj.php?id=X i po sprawie. Pierwsze żądanie spowoduje przypisanie kodu do zmiennej sesyjnej, a drugie zagłosuje na określony towar.

Na razie najlepszą ochroną jest dobrze wykorzystany REFERER. Może jeszcze coś pominąłem.

W przypadku POST można jeszcze inaczej zabezpieczyć formularz. Zapisać kod do sesji i umieścić go w polu typu HIDDEN. Chociaż w tym przypadku można wykraść kod i spreparować formularz, stosując podobnie jak powyżej 2 żądania "obrazki".

Zatem jednak lepiej wysyłać ocenę metodą POST.

Tylko co zrobić z osobami, które wyłączyły JavaScript? Uniemożliwić im głosowanie? Ewentualnie utworzyć link w <noscript> prowadzący do alternatywnego formularza. To może znów stanowić problem dla użytkowników PDA lub telefonów komórkowych, bo chyba wszystkie modele obsługują JavaScript i AJAX. Każde żądanie kosztuje!

Jakie jest wasze zdanie? Jakie są wady i zalety różnych rozwiązań? Które najlepsze i dlaczego?