Ha a böngészőben futó js-es editor által küldött get/post/satöbbi sz@r, és a modsecurity megfogja, akkor teljesen mindegy, honnan küldi, sz@r marad, és el fog hasalni a modsecurity-n. Nem, "bentről" sem jó ötlet tágra nyitni a kaput - egyrészt, mert bentről is bekerülhet disznóság, másrészt meg azzal bonyolultabb konfigot kell kezelni (A "csak egy kivétel" is bonyolultabb konfigot jelent...)
Ahogy mondani szoktam, ha választhatok, hogy üzemeltetőként alszom nyugodtan, és a fejlesztőnek kell miatta szívni, vagy a fejlesztőnek lesz kevesebb munkája, nekem meg egy potenciálisan lukas rendszerem, akkor én az elsőt választom...