14/05/02 00:43:14.81
>>356
今回の問題は、field改ざん検知のハッシュ値が、別のurlでも使えてしまう問題。
例えばForm->textでfield1,filed2を生成しPOSTされた値を保存するaction1、
Form->textでfield1のみ生成しPOSTされた値を保存するaction2があるとする。
action2でform改ざんを行って手動でfield2を追加しPOSTする場合を考える。
一緒にPOSTされるhash値の不一致でエラーとなるのが本来の仕様。
ただし以前のバージョンだと、form改ざんと併せてhash値をaction1のものを引用すると、
エラーにならずにfiled2を上書きできてしまう。
今回の修正で他のアクションのhash値を引用することができなくなり、本来の仕様を
回避する穴がふさがった。
ちなみにhiddenの改ざんの話は、どういう意図で言ったのか俺もよく関連はわからん。