使页面提交完整的游戏回放，而不仅仅是最终得分。给定随机种子和用户输入的逐帧记录，您的服务器应该能够模拟和重建游戏并验证分数。

显然，重播也可以伪造，但它需要大量的工作（实际上是玩游戏并获得好分数，尽管 AI 辅助、减速和其他客户端黑客的不公平优势），工具辅助分数应该应该在排行榜上。

通过创建一个只能在服务器端计算的方程来混淆他们的分数。

编辑：RobG 是正确的，因为它需要在客户端进行计算。

当 Angry Birds 游戏在 chrome 上启动时，我入侵了它：

http://wesbos.com/all-levels-html5-angry-birds/

然而，他们已经对代码进行了如此多的混淆，以至于无法弄清楚哪个函数计算了哈希值。

你不能保证不作弊，这是不可能的。服务器响应请求，就是这样。它不知道客户端上正在运行什么代码，它处于什么类型的用户代理或环境中，甚至不知道它是在运行您的代码还是传真。

您可以采取各种措施来使欺骗变得更加困难，但不能使其成为不可能。这些措施的成本（通常被视为“安全”）通常与被保护资产的value相平衡。

永远不要在客户端上放任何东西。客户掌握在敌人手中。永远不要忘记这一点。

--网络世界设计法则

我的一个想法是使用游戏计时器。如果用户将分数更改为在经过一段时间后显然不可能的数量，则拒绝记录信息。您可以启动计时器并在服务器端脚本中检查计时器。

现在当然，如果他们仅将分数更改几分，则此检查可能会失败，但是，如果他们仅添加小于影响的数量，那么也许对您来说就不那么重要了？