dodo512, если явно указывать начало строки ^ и конец строки $ тогда действительно поиск будет с начала каждой новой строки при наличии флага m. Поскольку начала строки не указано, то с флагом m и без него будет один и тот же результат.
Хорошо что заметили! Флаг m в примере действительно можно удалить.
Артем, в вашем случае, если используете jQuery, то нужно отправить на Ваш backend все необходимые пользовательские данные. Видимо координаты положения мыши и т. д. Потом на backend сформировать новый REST запрос, в который уже подставить токен.
Т. е. получается 2 запроса вместо одного (как Вы делали ранее). Сначала с клиента отправляется 1 запрос, потом с backend отправляется ещё один запрос туда, куда Вам нужно (с секретным токеном).
Таким образом пользователь не увидит секретного токена.
Алексей Максимов: я об этом и пишу. Конечно код надо правильно писать. Это задача программиста.
Моя мысль такая — администрирование серверов и распределение нагрузки не решается языком программирования.
Вадим Егоров: понятно, что ради баловства
Кстати, защиту-то придумали, но если посмотреть, то 80% сайтов не использует её.
Да и не все веб-мастера знают что такое вообще бывает. :)
Даже на Тостере нет заголовка X-Frame-Options и он подвержен атаке clickjacking...
Хорошо что заметили! Флаг m в примере действительно можно удалить.