我正在创建游戏网站,当玩家玩完游戏后,我希望网站将分数更新为数据库。现在我唯一的问题是,玩家可以通过在浏览器中使用javascript方法/代码轻松欺骗他们的分数。我怎么能这样做?
答案 0 :(得分:0)
玩家可以通过浏览器中的javascript方法/代码轻松欺骗他们的分数。
模糊处理:如果您的目标是阻止轻松,则可以obfuscate您的JavaScript代码。 修改:在阅读@mickmackusa's link后,IIFE是实现您所需目标的快捷方式。
签名:如果您的目标是阻止它发生,您应该考虑使用verifiable signature or hash。应用程序的JS越重,就越难以获得。例如,如果签名是通过纯JavaScript在客户端生成的,则代码为would still leak everything an attacker would need to fake the signature。接受的设计是将服务器端的私有组件移动到可以受到保护的位置。
混淆是非常有效的,因为反混淆的负担远远大于与攻击者相关的奖励(或风险)。