[Onkelborg]

Om man sätter kravet GET så är det crazzy säger säkrast, eller i alla fall någonting som går i någon header, att sätta en cookie skulle säkert fungera lika bra det med. Det som är viktigt att tänka på är att allt som följer med i url:en kan loggas, t.ex. på webbservern, en proxy, någon mystisk brandvägg etc. Beroende på config med certifikat etc. så ger inte ssl något skydd mot sådan loggning. (POST klarar sig bättre där..)