So che gli stati di best practice generali non si fidano di nulla generato dal client.
Con questo in mente, voglio scrivere un'app HTML5 che utilizza il browser per generare vari oggetti sul lato client prima di inviarli al server. Questi potrebbero essere immagini, testo, numeri, qualunque cosa - ma tutti generati da JavaScript sul lato client, in modo da non sovraccaricare il server web e mantenere le cose reattive.
Diciamo che stiamo usando un algoritmo per generare del testo ai fini di questo esempio.
L'utente seleziona quindi uno o più di questi passaggi di testo e l'app li rimanda al server.
L'algoritmo per generarli esiste necessariamente lato client, così come il metodo per inviare i dati al server.
Come posso verificare che i dati inviati al server siano stati generati dall'algoritmo lato client e non semplicemente modificati in Firebug o negli strumenti di sviluppo? Qualsiasi algoritmo di checksum / hashing che potrei usare dovrebbe anche essere presente sul lato client e quindi vulnerabile alle manomissioni.
Questo può essere fatto senza fare affidamento sulla sicurezza per oscurità dei campi "nascosti" <input>
e codice offuscato?