$form->addProtection(‚Vypršel ochranný časový limit, odešlete prosím formulář ještě jednou‘); Tohle že ochrání před Cross-Site Request Forgery (CSRF) nebo XSS?
Tohle nanejvýše ochrání před (CSRF) nebo XSS pokud útok proběhne po timeoutu, ale ne obecně. Pokud bude timout dlouhý, bude dlouho otevřena možnost k útoku. Pok bude krátký, bude uživatele prudit odesílat formulář znova (a nejspíše ho serverem znova vygenerovat a vypnit).
