Al escribir el código del servidor para volver a enviar la página de confirmación , algo me vino a la mente: un atacante podría realizar varias solicitudes para /resendemail?user=blah
(URL de ejemplo) e inundar a dicho usuario con correos electrónicos de registro (por supuesto, como siempre que el usuario exista y no haya confirmado su correo electrónico).
Mi primera idea fue limitar la solicitud por sesión, sin embargo, esto se puede omitir muy fácilmente. El límite por IP es demasiado implemento y también se puede omitir (es decir, usar varios proxies), por lo que estoy seguro de que debe haber algo lo suficientemente simple como para mitigar este tipo de explotación.