.NET MVC/JS/JQUERY 中的测验应用程序，如何防止作弊？

Question

我正在制作一个测验应用程序，其中 4 个用户加入一个大厅（完成），然后领导开始测验。

测验开始时，会随机选择问题。用户可以回答他们，然后单击提交。每个问题都是定时的，这意味着用户只有 10 秒的时间来回答问题。

这都是通过 AJAX 完成的，因为我希望网站是实时的。我将如何防止作弊？用户可以手动编辑JS文件等。

我正在考虑获取加载问题的确切时间 + 回答时间。如果不是在 10 秒内，他就是在作弊。这会起作用吗，还是有更好更简单的方法来做到这一点？

谢谢。

Answer 1

结论：由于无法在客户端阻止任何事情，唯一听起来不错的解决方案是让服务器检查所有内容。

一个 GET 请求，它请求问题并记录时间。之后，一个 JS 计时器，如果倒计时完成，它会自动提交问题。用户也可以手动提交答案（显然）。 POST 答案，服务器记录它的时间，将其与 GET 请求的初始时间进行比较。如果超过 10 秒，则抛出错误，不计算答案。

谢谢大家。

Answer 2

编辑

我认为AntiForgeryToken 是解决您问题的正确解决方案。我阅读了很多文章以确保我的旧答案是正确的。

1-Hiding or Encrypting the javascript source code

2-How to Disable HTML view source or Encrypt Html elements programatically?

3-How To Prove That Client Side Javascript Is Secure?

4-ASP.NET MVC - does AntiForgeryToken prevent the user from changing posted form values?

我得出结论：

AntiForgeryToken 防止恶意站点诱使用户使用与原始表单相同的表单并将其发布到原始站点。它不会阻止您描述的场景。

确实没有办法完全在客户端执行此操作。如果此人拥有有效的身份验证 cookie，则无论页面上的代码如何，他们都可以制作任何类型的请求并将其发送到您的服务器。

您可以使用HtmlHelper.AntiForgeryToken with salt value。

要使用这些助手来保护特定表单，请将Html.AntiForgeryToken() 放入BeginForm，例如，

@using (Html.BeginForm("Users", "SubmitQuiz"))
{
    @Html.AntiForgeryToken()
    <!-- rest of form goes here -->
}

这将输出如下内容：

<form action="/Users/SubmitQuiz" method="post">
    <input name="__RequestVerificationToken" type="hidden" value="saTFWpkKN0BYazFtN6c4YbZAmsEwG0srqlUqqloi/fVgeV2ciIFVmelvzwRZpArs" />
    <!-- rest of form goes here -->
</form>

接下来，要验证传入的表单帖子，请将[ValidateAntiForgeryToken] 过滤器添加到您的目标操作方法。例如，

[ValidateAntiForgeryToken]
public ViewResult SubmitQuiz()
{
    // ... etc
}

Salt 只是一个任意字符串。不同的盐值意味着 将生成不同的anti-forgery token。这意味着即使 如果攻击者设法以某种方式获取有效令牌，他们 不能在应用程序的其他部分重用它 盐值是必需的。

您可以为不同的用户创建不同的salts，例如this。

编辑

AntiForgeryToken() 使用以下检查工具防止篡改代码：

在客户端

1- 将生成一个新的随机anti-XSRF 令牌。

2- 使用步骤 (1) 中的安全令牌生成反 XSRF 字段令牌。

在服务器端（验证令牌）

1- 读取传入的会话令牌和字段令牌，并从中提取anti-XSRF 令牌。 anti-XSRF 令牌在生成例程中的每个步骤（2 个客户端）必须相同。

2- 如果验证成功，则允许继续请求。如果验证失败，框架会抛出一个HttpAntiForgeryException。

有关更多信息，请参阅this article。