Подмена информации в скрытых полях

Наиболее общим подходом к хранению информации является использование скрытых  полей, т.е. полей, которые встроены в форму, но которые браузер не отображает. В исходном  коде скрытые поля имеют вид, аналогичный следующему:

<input type=»hidden» name=»userid» value=»ktrout»>
<input type=»hidden» name=»form_expires»
value=»20001001:12:45:20″>

Однако, HTML-форма может быть сохранена пользователем на клиентском  компьютере, а значения «скрытых» полей могут быть прочитаны и изменены. Затем HTML-форма загружается в браузер и, если приложение доверяет содержимому формы, вместе с  измененными значениями передается на сервер. Для защиты от таких атак приложение  может анализировать значение заголовка HTTP_REFERER, которое формируется браузером. В случае сохранения формы на диске и последующей его загрузки, значение  HTTP_REFERER будет пустым. Однако такая защита может быть преодолена, поскольку  замена заголовка может быть выполнена с помощью несложного скрипта (например, на Perl).