Возможно, я переусердствовал.Защита веб-авиза от вызова за пределами браузера
У меня есть простая javascript-игра, работающая в браузере (головоломки и т. Д.), И когда пользователь выигрывает, очки отправляются в брандмауэр laravel в зависимости от того, как быстро они это завершают.
Когда пользователь входит в систему, создается типичный сеанс, и когда точки отправляются через запрос POST, это также csrf и JWT.
Возможно ли открыть консоль chrome dev и получить URL-адрес, затем скопировать crsf, cookie или JWT и отправить точки на бэкэнд без фактического воспроизведения игры?
Apis, вызываемый за пределами браузера, не соблюдает политики доступа-Controll-Allow-Origin.
Может ли кто-нибудь объяснить, что мешает пользователям делать это или как предотвратить это действие и убедиться, что пользователи действительно играют в игру, чтобы заработать очки?
Возможно, вы можете проверить, установлен ли заголовок User-Agent как дополнение. Но это также можно добавить без использования веб-браузера. – Bora