Вы не можете надежно что-либо сделать, чтобы предотвратить изменение клиентом HTML-документа, отправленного вашим приложением, или отправку поддельных запросов в ваше приложение. Вы несете ответственность за проверку всего, что клиент отправляет вам обратно на стороне сервера. Золотое правило гласит: «не доверяй всему, что клиент посылает тебе».
Особенно любой подход, основанный на JavaScript, бесполезен, так как пользователь может просто деактивировать JavaScript в своем браузере. Любая попытка умерить поведение браузера обычно только раздражает ваших пользователей и заставляет их уйти.