如何确保客户端JavaScript未被篡改？

在先前的讨论中，我提到了一个基于Javascript加密的安全层概念，并指出了其中的一些潜在漏洞。根据收到的回答，一个显而易见的事实是，在客户端执行的所有Javascript代码都是可以被修改和不可完全信任的。

尽管如此，出于项目需求，我仍需利用这些技术，同时依赖SSL来保证数据传输过程中的安全性。

因此，我的问题是：是否存在一种机制，能够让服务器确认网站正在使用的Javascript确实是它最初发送的那个版本？

考虑到诸如哈希校验等方法显然容易被绕过，且服务器在发送数据后，实际上无法获知客户端的具体行为（除了通过HTTP头部信息，如COOKIE交换等）。

答案是，从技术层面来看，服务器无法直接验证这一点。

所有与服务器的交互均由客户端的Javascript发起，这意味着，恶意的Javascript同样能够模拟合法的行为。

虽然使用SSL可以增加攻击者向网页注入恶意Javascript的难度（前提是用户信任浏览器及其插件），但一旦恶意代码成功植入，就可能造成严重的安全威胁。

总体而言，如果攻击者能够物理地或通过脚本获得对浏览器的控制权，那么就几乎无法保证任何信息的安全性。