Vlákno názorů k článku
Nette Framework: Neprůstřelné formuláře II

$form->addProtection(‚Vy­pršel ochranný časový limit, odešlete prosím formulář ještě jednou‘); Tohle že ochrání před Cross-Site Request Forgery (CSRF) nebo XSS?

Tohle nanejvýše ochrání před (CSRF) nebo XSS pokud útok proběhne po timeoutu, ale ne obecně. Pokud bude timout dlouhý, bude dlouho otevřena možnost k útoku. Pok bude krátký, bude uživatele prudit odesílat formulář znova (a nejspíše ho serverem znova vygenerovat a vypnit).

addProtection() nechrání přes XSS, to dělají formuláře automaticky. Tohle se používá jako ochrana proti CSRF.

Délka timeoutu není rozhodující, chrání to spolehlivě nezávisle na timeoutu. Nebo jste našel v kódu nějakou chybu?