用 session 作个校验(授权)如何?

session不好。

1.URLRewriter

2.用Session,不过要注意最好加密

不用session也行,用cookie.

获取页面时加一个按一定算法生成的cookie,Post时检查是否有合法的cookie,就像软件检查注册码一样.

cookie 也不好弄吧.当然你打开页面的时候就有了. 还是可以伪造啊!!

我感觉目前也没什么好的办法!!

实现不了，http的协议注定了能伪造。不论如何，我抓包都能看到提交出去的内容，伪造成一摸一样就ok了。

不过换种方法考虑，加个验证串，只要程序抓不到（非人为的去查看），也能防范下。可以尝试每次提交都用图片验证码。

很难彻底防止伪造，除非在浏览器侧启用用户证书做非对称加密。如果不进行加密,http 包是明码传输的，用楼上的session,cockie等办法都无法彻底防止伪造。楼主说的隐藏action，就是在html中隐藏了，用抓包工具还是可以看到Post的实际地址。

退而求其次，目前做的比较多的防止伪造的办法有如下几种：

第一： 让用户输入验证码，验证码通过图片展示，这种方法一般程序很难破解。

第二： 在url 或者 cockie里面加一个时间戳，这个时间戳的加密算法只有服务器知道，这种方法可以防止浏览器侧连续Post数据，也可以设置过期时间，超过一定时间后再Post就无效了。

post里多一个参数做验证,验证不通过,即使收到post也不处理

验证码吧