Tengo un script de registro de php, que solo toma todos los datos como una solicitud posterior. Tengo otra página que envía esos datos al script utilizando jQuery ajax. ¿Cómo puedo estar seguro de que la solicitud provino de esa página y no un spammer que simplemente enviaría solicitudes de publicación a ese script? Pensé que tal vez utilizaría un token que está en los datos enviados por la página o una cookie, pero ambos serían fáciles de descubrir.
Fundamentalmente, no puedes.
Debido a que el usuario tiene todo el código necesario para comunicarse con usted en su dispositivo (es decir, JavaScript), también tiene el mejor Documento de Descripción de Algoritmos posible (es decir, JavaScript) que podría solicitar.
La única forma de proteger el código es ejecutarlo en el servidor ... Pero esto significa que todas las solicitudes deben pasar por el servidor, no solo las "válidas" de su script.
Todo lo que puede hacer es elevar el nivel de complejidad.
Por ejemplo, si tuviera que hash (por ejemplo, SHA256) el contenido del código JavaScript utilizado para generar la solicitud y todos los datos en la solicitud y enviarlos junto con la solicitud, podría tener una validación básica. Esta validación es fácil de descifrar porque todo lo que tiene que hacer un usuario es averiguar cuál es el hash del código JavaScript y hacer el hash ellos mismos, pero lo hace un poco más difícil.
Otra opción, como se menciona en los comentarios, es usar un captcha.
Otra opción es ver los IP o patrones de origen en las solicitudes.
Pero. Fundamentalmente, no hay forma de validar que el usuario está ejecutando su código frente a su propio código en su propio dispositivo.
Lea otras preguntas en las etiquetas php registration