Zusätzliche Informationen zu den Funktionen „Statisches URL-Hardening“ und „Form-Hardening“

Es ist empfohlene Praxis, immer sowohl statisches URL-Hardening als auch Form-Hardening zu aktivieren. Die beiden Funktionen ergänzen sich, denn sie sorgen jeweils dafür, dass die Probleme vermieden werden, die auftreten, wenn nur eine der beiden Funktionen aktiviert wird.
Wenn nur Form-Hardening aktiviert ist: Wenn eine Webseite Hyperlinks mit angefügten Abfragen enthält (was bei bestimmten CMS der Fall ist), z. B. http://example.com/?view=article&id=1, werden solche Seitenanfragen durch Form-Hardening blockiert, da die Funktion eine Signatur erwartet, die fehlt.
Wenn nur statisches URL-Hardening aktiviert ist: Fügt ein Webbrowser der Aktions-URL des „form“-Tags des Webformulars Formulardaten hinzu (was bei GET-Anforderungen der Fall ist), werden die Formulardaten Bestandteil der Anfrage-URL, die an den Webserver gesendet wird, wodurch die URL-Signatur ungültig wird.
Das Aktivieren beider Funktionen hilft dabei, die Probleme zu lösen, da wenn entweder Form-Hardening oder URL-Hardening eine Anfrage für gültig befinden, der Schutz von Webanwendungen diese Anfrage akzeptiert.