假设我有一个 js 游戏,带有分数和“发布分数”按钮。该按钮将向 php 脚本发送 POST 请求,然后该脚本会将分数添加到数据库中。问题是,用户可以在浏览器中看到哪个页面应用程序正在发送帖子数据,因此他可以通过发送他能想到的任何数字来伪造它。这就像 CRSF,但 token 没有帮助,因为用户也可以看到它。我思考这个问题有一段时间了,但还没有想出任何 100% 有效的解决方案。
最佳答案
您在客户端上所做的一切都不可信。
我会尝试添加我自己的小加密,我可以逆转它。
我猜想甚至一些基本的东西,比如将数字显示为字符,1 = F
,2=p
等......并通过添加一些随机垃圾来制作像这样的字符串>asdzf7erwhbrdfm0[encryptedscore]0jkfsdgfadsegajb
然后删除零之间的所有内容。
关于javascript - 防止后期数据伪造,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35265296/