问如何防止攻击者复制提交？

EN

听起来你真的有两个问题：

• 防止重播攻击。
• 阻止同一个客户投票两次。

这些都是微妙的不同。重放攻击是简单地多次发送请求，可能有细微的变化，也可能是由第三方发送。多次投票就是这样:合法地投票不止一次。

这里的核心问题是你不知道客户是谁。如果客户端移动位置(IP或子网)怎么办？是新客户吗？即使你认为你知道他们是谁，在抽象的层面上，你也不知道。

这不是什么新问题。总的来说，大多数互联网通过要求客户创建帐户来解决这个问题。身份验证发生在TLS上，确保客户端是他们所说的那个人。完成此操作后，客户端可以通过服务器将其存储在数据库中的TLS连接发送其投票。一个客户ID (如电子邮件地址或帐户名称)，一票。

这可以防止重放攻击: TLS已经通过设计增强了对这些攻击的抵抗力。这也防止了多次投票:投票是根据数据库中的帐户ID链接起来的，这使得查看特定客户端是否已经投票变得非常容易。只需有一个由轮询ID和帐户ID组成的多部分主键。另一个字段存储投票。您可以添加可选元数据，如IP地址和投票日期/时间。

这里没有理由重新发明轮子: TLS和一些基本的数据库设计可以轻松地解决您的问题，并且比任何本土开发的解决方案都要好得多。

1. 将记录存储为salt的表行号是否可行？(或此唯一数字的函数)。
2. 我会将信息存储在服务器上，因为作为一个原则问题，我永远不会相信互联网上的客户端。如果您真的想在客户端上存储信息，您将使用您的私钥对其进行数字签名或加密，并在投票时验证或解密它。这是否可以接受取决于投票的性质:对于竞选公职，我会选择服务器，去哪里吃团队午餐，我也会选择服务器。
3. 给出反馈意见(并记录下来)，否则你就会面临这样的风险:在真正的选民有时间投票之前，甚至没有人知道合法的选票是否被压缩和使用。