Как передать js данные через ajax с защитой от подмены?

Question

[muhasa]

Я дергаю геокоординаты человека и хочу отправить их на сервер.
Но ведь любой товарищ может открыть код и глянуть, на какой адрес и что я отправляю.
Ладно, делаю POST запросом и отправляю на сервер с проверкой HTTP_REFERER, но неужели это нельзя подделать?..
Как защитить запрос? Слышал про токены, не совсем понимаю конкретную реализацию.
Может еще есть механизмы?

Comments

[RaulDuke]

Я живу по принципу: все что приходит с фронта -- ложь, чего и Вам советую. Если говорить о предмете, то мне кажется Ваша затея сложно реализуемая, либо не реализуемая вообще.

Даже если вы поднимите инфраструктуру токенов, по-взрослому заморочитесь криптованием всего и вся, что мешает человеку сменить свои данные о геолокации?

[muhasa]

RaulDuke: то есть как это - сменить? Они же будут вычисляться автоматом. Понятно, что можно тормознуть ajax-запрос разными средствами и сменить данные, но в этом вся соль - никак не могу придумать механизм, который бы проверял целостность данных. На сервере можно было бы сделать так - latitude, longitude, md5(latitude.longitude."secret-key") - и потом проверка, корректно ли переданы данные, не было ли где подмены.
Здесь как такое придумать - ума не приложу.

По ходу, принцип Ваш верен...

[Lynn «Кофеман»]

От кого вы пытаетесь защититься?
От человека который контролирует браузер?

[EverOne]

muhasa: А вы в курсе, что в Android есть встроенный GPS Emulator?

[RaulDuke]

muhasa:

то есть как это - сменить?

Да в сущности как угодно) сэмулировать гпс, пользоваться проксей на Бали и т.д.