la risposta era in merito a
Originariamente inviato da the-bit
Ma in questo modo, però, chiunque mastichi un po di JS potrebbe farlo anche senza essere loggato al sito, mandandomi tutto in crash, visto che esistono proprio dei plugins per i browser che permettono di eseguire direttamente codice JS sulle pagine.
Se inseriscicommento(1) esegue una chiamata ajax alla pagina inserisciCommento.php e quella pagina contiene funzioni accessibili solo agli utenti autorizzati non sara accessibile da nessuno se non da utenti autorizzati quale che sia la tecnologia usata per realizzare il client... sempre di http si tratta. Con le console e programmini vari, si possono fare tutte le cose che tu dici su tutti i siti. La differenza è che invece di vedere le chiamate ajax e il javascript devo vedere le action dei form e i tag input, non cambia nulla (per es. in questo forum c'è il form con la action newreply.php, so i nomi di tutti i campi, posso anche evincere il loro significato, e c'è anche l'hiddenfiled per la protezione csrf subito sotto il form: il campo s).

Nell'ultimo reply hai citato anche un altro problema (non da poco): utenti autorizzati che eseguono volontariamente operazioni di bombing. Lo si puo fare a tutti i siti e se esistesse un metodo semplice per risolvere il problema non esisterebbero piu i captcha. Anche qui la soluzione va implementata lato server: memorizzi in un area cache (piu l'applicazione è grossa piu deve essere performante) gli ip e il timestamp di chi fa le operazioni e controlli che qualcuno non cominci a fare troppi invii post in intervalli di tempo troppo brevi. La cosa è delicata e va studiata bene perche altrimenti le contromisure potrebbero costare piu risorse di quelle che si intende salvare.

Ogni linguaggio/piattaforma ha il suo modo di implementare la protezione csrf. Asp.net la fa dietro le quinte (e non ci si deve preocccupare di questo visto che non si lavora direttamente con il form), php la si fa a mano (php lo conosco solo a livello base, non ci lavoro). In asp.net mvc c'è qualcosina ma per ajax devi lavorarci a mano. La soluzione teoricamente è quella che ti ho dato nel post di prima ma per implementazioni specifiche basta fare una ricerca su google.