Supose我有一个js游戏,有一个分数和“发布分数”按钮。此按钮将向php脚本发送POST请求,然后该脚本将为数据库添加分数。问题是,用户可以在浏览器中看到哪个页面应用程序正在发送帖子数据,因此他可以通过发送他可以提出的任何号码来伪造它。这就像CRSF,但令牌无济于事,因为用户也可以看到它。我一直在考虑这个问题,并没有想出任何100%可行的解决方案。
答案 0 :(得分:0)
您在客户端上所做的一切都不可信任。
我尝试添加自己的小加密,可以由我反转。
我想即使是基本的东西,如将数字显示为字符,1 = F,2=p等等,并添加一些随机垃圾来制作像asdzf7erwhbrdfm0[encryptedscore]0jkfsdgfadsegajb这样的字符串,然后删除零之间的所有内容