假设我有一个js游戏，带有分数和“发布分数”按钮。此按钮会将POST请求发送到php脚本，然后该脚本将分数添加到数据库中。问题是，用户可以在浏览器中看到哪个页面应用程序正在发送帖子数据，因此他可以通过发送自己能想到的任何数字来伪造它。这就像CRSF，但是令牌无济于事，因为用户也可以看到它。我已经考虑了一段时间了，还没有想出100％可行的解决方案。

您在客户端上执行的所有操作均不可信任。

我会尝试添加自己的小加密，可以由我逆转。
我猜甚至是一些基本的东西，例如将数字显示为chars，1 = F，2=p等...，并添加一些随机的垃圾以制成像asdzf7erwhbrdfm0[encryptedscore]0jkfsdgfadsegajb这样的字符串，然后删除零之间的所有内容。