Az XSS elleni védelem is fontos dolog, bár én rosszul írtam először mert a scriptek jártak a fejemben. Viszont a CSRF látszólag semmilyen módon sincs kezelve, így pedig jóformán ugyan azt el lehet érni mint amire a védelem megszületett. Csak itt még az IP ellenőrzés és társai sem működnének. Ha gondolod tudok küldeni privátban egy példát, elég beteg dolgokat lehet művelni ezzel a felhasználó becsapása nélkül is.
Minden esetre a lentieket fontoljátok meg. Megoldható lenne a rendes bejelentkezve maradás a scriptek mellett is. Elég nagy segítség lenne a felhasználók megtartásában. Nyilván a lentiek csak ötlet kezdemények, a végső megoldást át kell gondolni, kezelni kell pár kivételt, stb. Alapvetően viszont egy csomó szabványosított lehetőséget fel lehet használni, csak össze kell legózni. Például új ötlet: CORS. Szimplán kontrolláljátok a külső helyekre mutató forgalmat. Saját célra itt is lehet kivételeket beállítani, és az egész csak egy header csatolásából áll.