多分私はこれを思っています。Web apiがブラウザ外で呼び出されないようにすること
私はブラウザ(パズルなど)で実行されているいくつかの簡単なjavascriptのゲームを持っており、ユーザーが勝ったときに、ポイントは、彼らがこれを完了どのように迅速に基づいてlaravelバックエンドに送信されます。
ユーザがログインすると、典型的なセッションが作成され、そしてポイントがPOST要求を介して送信されるとき、そうCSRFとJWTです。
は、クロームのdevのコンソールを開き、crsf、クッキーやJWTをコピーして、実際にゲームをプレイすることなく、バックエンドにポイントを送った後、URLを取得するには、ユーザーのために、それは可能ですか?
ブラウザ外で呼び出されたApisは、Access-Controll-Allow-Originポリシーを尊重しません。
誰でもこれを行うことを禁止する方法やこの操作を防止する方法を説明し、ユーザーが実際にポイントを獲得するためにゲームをプレイすることを確認できますか?
おそらく、User-Agentヘッダーが追加として設定されているかどうかを確認できます。しかし、これはウェブブラウザを必要とせずに追加することもできます。 – Bora