... Me habra un popup pesado la pagina y no vuelvo a entrar en ella ^^
JS esta bien para RT validation pero toda comprobacion con JS no es de fiar. Crear codigos sessiones ... Eso requiere el tripl de resource que simplemente no fiarme y hacer un check de validez, otra cosa es que las sesiones, cookies tambien son inputs asi que tampoco son de fiar y hay que comprobarlas si transportan datos importantes.
Con lo que ofreces que me impide hacer me un bot que coja el valor de tu hidden input y lo ingreso en mi propio formulario dejo el input de username vacio y lo envia al URL de tu form ? Te lo dire Nada...
Como la ley de Murphy dice "Si algo puede salir mal, saldra mal"
Leed que es programacion defensiva ...

oO Y eso que tiene de seguro o de fiar ? Te lo modifico igual ... y le doy valor true y desactivo el JS....