ho provato anche a farli passare un parametro, fare il check e in caso mandare un errore ma nn me lo faceva, forse sbagliavo qualcosa io, ora provo a rifarlo...

per l'header so che c'era qualche falla di sicurezza ma pensavo prima di far andare il tutto e poi sistemare queste cose :P una di quelle dici di usare l'url assoluto ?