我正在开发一个网站,该网站的功能类似于在线游戏,并且具有评分系统。完成某些活动后,用户会通过称为“ levelup.php”的页面接收一些虚拟硬币,这些硬币存储在SQL数据库中。
问题是用户可以通过使用浏览器的控制台键入以下内容来直接访问“ levelup.php”,甚至发送恶意的帖子请求:
var xhttp = new XMLHttpRequest();
xhttp.open("POST", "levelup.php", true);
xhttp.send();
如何防止这种情况并确保用户确实进行了必要的活动来赢得分数?
ps:它本来就是一个游戏,所以添加诸如reCAPTCHA之类的东西不是可行的解决方案。
使用用户凭证实施crf令牌或随机生成的代码,并将其嵌入到页面中