排行榜怎么防止恶意用户刷榜？

没用的，referer 一样可以十分简单的伪造。除非游戏主要逻辑在服务端，基本没有什么好方法能够限制客户端作弊行为，无论 web 还是原生客户端。

无法避免

倒是确实直接把逻辑扔 wasm 里相比在 js 层搞各种东西破解难度要大得多

@jsdi TLS 是防止用户访问了伪造的服务器，而且你这是网页版的，做什么都不能防止用户给你发假数据。

Referer 伪造成本太低了。。。

把菜鸟用户拦截就行了，前端代码混淆，前端上传分数接口数据非对称加密

@libook 感觉这个方案最靠谱些

实时上传玩家操作，在服务端进行玩法逻辑计算以及计算分数

终极解决方法只有一个：服务端运算。

打个形象的比方：打完游戏，分数由客户机一次提交，这就好比考完试，让学生自己判卷，然后把分数报上来。也不检查卷纸。那么这个分数排行榜？只能用作参考。不能认真。
省时点的逻辑，就是优化排行榜：加个简单判断，把排行榜里离谱的分数过滤掉。再把短时间取得不可能分数的过滤掉。这样，排行榜看起来就能正常一点。

为什么 PC 上外挂很多，游戏机上相对较少？因为 PC 是全功能生产工具，傻瓜式的内存修改器就 N 多种。
不管你提交过程怎么加密，怎么防伪造。这个游戏分数是一定存在某段内存里的。我用 CE 修改器定位到分数的内存地址，做一次乘方。然后游戏结束，这个离谱的分数，经过你那复杂的加密逻辑，顺利的通过服务端，登上排行榜。你辛苦编写的加密逻辑，全都变成了无用功。
你的程序运行在我的地盘，我对它有上帝视角。你让我自己判卷，我想判多少分就判多少分。就是这么个逻辑。

楼上也说到了，最终解就是服务端计算，前端做加密只是破解难易的区别而已

@oneisall8955 非对称加密有用吗？公钥放在客户端，用户通过翻 js 文件就可以看到加密逻辑，然后他也可以把加完密的离谱分数提交到后端，后端是没法判断的

@t6attack 确实 前端还是太裸奔了阿 底裤都让人看光了

就冲 ”后来导师让我用 referer 请求头实现“ 这句话。
游戏内容都用不着抓包这么啰嗦的手法。

请问真的可以使用 referer 实现吗？
答：可以，但只能避免试图刷榜中的很小一部分。
有没有其他实现方式呢？
答：很多并不能完全阻断这种行为。所以归纳下来无非是三种方向，加密（数据、协议等方式方法尽量复杂）、记录（操作日志、录像录屏、实时数据流等尽可能详尽可追溯）和加密结合记录。

@jsdi 防菜鸟而已，一般的菜鸟看到接口要上传加密的数据就不想翻前端源码，再有混淆了前端代码也不太好找到密钥和加密算法