hi,

Wenn wir schon dabei sind:

Nicht idempotente Requests mit serverseitigen Nebeneffekten sollten nicht mit GET gemacht werden, sondern mit POST/PUT/DELETE usw. Der CSRF-Token ist dann Teil des Request-Bodys. Der sollte nämlich nicht Teil der URL sein, denn die URL leakt gerne.

Mit »resourceful« URLs (auch »RESTful« genannt), würde obige URL auf /images/{id} zusammendampfen, das passende HTTP-Verb ist DELETE. Das wird in der Regel mit einem POST-Formular und einem _method=delete-Parameter oder ähnlich emuliert.

Ja, schön :)

Noch schiel vöner, mal ausgehend davon, dass der Admin ein Backend vor sich hat, wo _mehrere_ Bildobjekte bearbeitet werden sollen... also anstatt für jedes einzelne Objekt einen Action-Request zu feuern (z.B. delete), könnte der Bearbeiter alles zusammen fix und fertig im Browser vorbereiten, z.B. Title und Beschreibung für jedes Image editieren oder ein Häkchen zum jeweiligen Löschen setzen und dann mit einem einzigen Klick die ganze Sache serverseitig auf den neuesten Stand bringen. So würde ich das machen :)