本文介绍在无框架的纯 JavaScript + PHP 开发中,如何有效防御用户通过浏览器开发者工具直接调用 $.post() 篡改并提交虚假分数等关键业务数据,核心方案是将“客户端提交结果”改为“客户端提交行为过程”,由服务端校验逻辑并生成可信结果。
本文介绍在无框架的纯 javascript + php 开发中,如何有效防御用户通过浏览器开发者工具直接调用 `$.post()` 篡改并提交虚假分数等关键业务数据,核心方案是将“客户端提交结果”改为“客户端提交行为过程”,由服务端校验逻辑并生成可信结果。
在前端单机类游戏(如记忆配对游戏)中,仅靠前端计算并提交最终分数(如 score: 11111111)存在根本性安全缺陷:所有客户端数据均可被绕过、篡改或重放。即使你添加了 csrf Token、请求头校验或前端防调试逻辑,只要接口接收 {“player_name”: “Cheater”, “score”: 999999} 并直接入库,攻击者就能在 DevTools 中一行 $.post(…) 完成作弊——这不是漏洞,而是设计误用。
✅ 正确思路:信任边界必须落在服务端
客户端只负责上报「可验证的行为过程」,服务端负责复现逻辑、校验合法性,并生成唯一可信结果。以记忆游戏为例:
- ❌ 错误做法(当前):前端计算总分 → 直接提交 score
- ✅ 正确做法:前端记录每一步操作(如翻牌顺序、配对时间、是否错误)→ 提交原始操作日志 → 后端按相同规则重算分数
? 实施示例(轻量级改造)
1. 前端:记录并提交可审计的操作序列
// 在游戏过程中累积操作(例如每次翻牌/配对) const gameActions = []; function recordAction(type, data) { gameActions.push({ type, data, timestamp: Date.now() }); } // 示例:用户成功配对一对卡片 recordAction('match', { card1: 'cat', card2: 'cat', duration: 1250 }); // 提交时发送完整操作流(而非最终分数) $("#submitScore").on("click", function() { const playerName = $('#playerName').val().trim() || "Unknown"; $.post("./backend/save_score.php", { player_name: playerName, actions: JSON.stringify(gameActions), // 传输原始行为,非结果 game_id: "memory_v1" // 可选:标识游戏版本,便于后端兼容校验 }, function(response) { if (response.success) { fetchHighScores(); $("#submitScore").prop('disabled', true); } else { alert("提交失败:" + response.error); } }); });2. 后端(save_score.php):严格校验 + 服务端计分
<?php header('Content-Type: application/json'); // 简单基础防护(非替代逻辑校验) if ($_SERVER['REQUEST_METHOD'] !== 'POST') { die(json_encode(['success' => false, 'error' => 'Method not allowed'])); } $playerName = filter_var($_POST['player_name'] ?? '', FILTER_SANITIZE_STRING); $actionsJson = $_POST['actions'] ?? ''; if (empty($playerName) || empty($actionsJson)) { die(json_encode(['success' => false, 'error' => 'Missing required fields'])); } $actions = json_decode($actionsJson, true); if (!is_array($actions) || count($actions) === 0) { die(json_encode(['success' => false, 'error' => 'Invalid actions format'])); } // ✅ 关键:服务端重放游戏逻辑,计算可信分数 $totalScore = 0; $matches = 0; $errors = 0; foreach ($actions as $act) { if ($act['type'] === 'match') { // 示例规则:匹配正确 +10 分,且需符合游戏逻辑(如不能重复匹配同一对) $matches++; $totalScore += 10; } elseif ($act['type'] === 'mismatch') { $errors++; $totalScore = max(0, $totalScore - 2); // 惩罚机制 } } // 进阶建议:添加合理性检查(如操作数是否符合关卡设计、时间戳是否异常集中等) if ($matches < 1 || $matches > 20) { // 假设本局最多10对,即20次匹配 die(json_encode(['success' => false, 'error' => 'Suspicious action count'])); } // 安全写入数据库(使用预处理防止SQL注入) $pdo = new PDO('mysql:host=localhost;dbname=game', $user, $pass); $stmt = $pdo->prepare("INSERT INTO scores (player_name, score, created_at) VALUES (?, ?, NOW())"); $stmt->execute([$playerName, $totalScore]); echo json_encode(['success' => true, 'score' => $totalScore]);⚠️ 重要注意事项
- 永远不要信任 score、level、time 等结果型字段:它们必须由服务端基于可验证输入生成;
- 操作日志需包含足够上下文:如卡片 ID、操作类型、时间戳、甚至哈希摘要(可选),便于后期审计;
- 加入轻量反自动化策略(非必需但推荐):例如检测操作间隔是否过短(
- CSRF Token 仍建议保留:虽不能阻止此场景作弊,但能防范跨站请求伪造,属于纵深防御一环;
- 前端校验仅用于体验优化:如实时提示“配对成功”,但绝不作为可信依据。
总结来说,防御“控制台提交假分”的本质不是封锁 ajax 调用,而是重构数据契约——让客户端成为“行为记录仪”,服务端成为“唯一裁判”。这套模式无需框架、不增加复杂度,却能从根本上关闭作弊通道,是轻量级 Web 游戏最务实的安全实践。