后端可以知道前端按钮是通过用户点击的还是通过调用 click()点击的吗？

这主要取决于前端知不知道

前端是可以知道的 https://developer.mozilla.org/en-US/docs/Web/API/Event/isTrusted

前端检测也有可能被 hook 掉

#2 的方法是可以的。但是至于你的数据会不会被伪造那就是另一个问题了

这种检测，后端的一切信息来源都是来自前端的输入，跟虚拟机检测一样，就是斗法，看警察和小偷谁的手法更高明了

先说你的需求吧，你这想法感觉是被带偏了的

如果有,逆向前端 js 代码就可以解决

正常直接调用 click 方法，e.isTrusted 为 false ，但有其他方法让它为 true ，比如浏览器插件

@hronro 对前端不了解，就是怕用户端跳过了前端验证

@ljsh093

後端不應該相信前端驗證. 所有驗證都要由後端做.

前端代码可以通过 Event.isTrusted 字段进行判断。

但是：
即使获取到了这个字段，事件本身可能已经是被拦截后修改的；
即使事件本身没有被拦截后修改，前端代码自身可能已经被修改了；
即使前端代码自身没有被修改，向后端发送的数据也可能被拦截和修改...

即使已经考虑了以上种种修改：
用户可以通过自己编译一个 isTrusted 永远为 true 的浏览器来绕过；
用户可以从系统层面伪造鼠标点击事件来绕过；
用户可以从硬件层面伪造 HID 设备来绕过；
用户可以………… 雇一群人来手动点击绕过......

以上，你觉得自己的用户肯做到哪一步，就防范到哪一步就好。

送你一句后端永恒的真理: "永远不要相信来自客户端的任何数据"