Mióta el sem jut az appig a rendellenes kérés, hanem a kliens rögtön forbiddent kap. Példul ha csak /egyikdolog /masikdolog szeru url-eket használ az app, akkor felvehető szabály, hogy egyéb esetben jöjjön a 403. Elég sok lehetőség van, az elmúlt 12 évben éltem is velük, ahol kellett és nem azért mert a változót nem kezelték (vagy akár én, ha írtam a PHP kódot), hanem mert így eleve csak az jut el az appig, aminek el kell.
Ez természeseten csak elfedi a hibát, ettől még az appban minden változót rendesen kell kezelni.