設定項目にオプション。

  • POSTリクエストのHTTP_REFERERが空でも問題視しない
    HTTP_REFERERがよそのドメインなのは常にブロック
  • POSTリクエストには事前に発行されたトークンが必要
    XSS対策を利用する方法なので二の次。
    ユーザーエージェントがwikiのドメイン内を読み書きできていることを確認。
    フォームを常設せず、利用者に投稿する意思があるときだけトークン付きのフォームを発行する。

:i/投稿時の処理