如果攻击者知道秘密密钥,那么他将始终能够生成有效的HMAC。攻击者可以通过查看流量或修改JavaScript来获得此HMAC值。也可以使用类似Firebug的JavaScript调试器。简而言之,这种安全功能不存在于任何地方,因为它完全毫无价值。听起来你正在非常小心地实现CWE-602违规行为。信任客户端是你可能犯的最严重的错误。现代Web应用程序安全的基础是保护服务器免受客户端攻击。我认为你还有很多要学习的地方。