我有一个页面,用户必须使用 HTML5 Canvas 和 JavaScript 创建自定义个人资料图片。画布的 base64 图像数据以他们输入其余用户信息的形式存储在隐藏的输入字段元素中。我只希望网站上的人们使用我的 JavaScript / Canvas 设计器制作他们的个人资料图片,但用户可以进入 Chrome 控制台,或使用地址栏或用户脚本来设置隐藏输入字段的内容到他们选择的 base-64 图像数据(不是用我的画布制作的)。
我怎样才能阻止人们这样做?我在想可能是某种使用 AJAX 将数据发布到设置 $_SESSION 数据的 PHP 文件的方法,但我想不出一种方法来阻止用户注入 javascript 来更改参数。