Es ist empfohlene Praxis, immer sowohl statisches URL-Hardening als auch Form-Hardening zu aktivieren. Die beiden Funktionen ergänzen sich, denn sie sorgen jeweils dafür, dass die Probleme vermieden werden, die auftreten, wenn nur eine der beiden Funktionen aktiviert wird.
• Wenn nur Form-Hardening aktiviert ist: Wenn eine Webseite Hyperlinks mit angefügten Abfragen enthält (was bei bestimmten CMS der Fall ist), z. B. http://example.com/?view=article&id=1, werden solche Seitenanfragen durch Form-Hardening blockiert, da die Funktion eine Signatur erwartet, die fehlt.
• Wenn nur statisches URL-Hardening aktiviert ist: Fügt ein Webbrowser der Aktions-URL des „form“-Tags des Webformulars Formulardaten hinzu (was bei GET-Anforderungen der Fall ist), werden die Formulardaten Bestandteil der Anfrage-URL, die an den Webserver gesendet wird, wodurch die URL-Signatur ungültig wird.
Das Aktivieren beider Funktionen hilft dabei, die Probleme zu lösen, da wenn entweder Form-Hardening oder URL-Hardening eine Anfrage für gültig befinden, der Schutz von Webanwendungen diese Anfrage akzeptiert.