Как сделать так, чтобы запросы не могли быть подделаны?

Для защиты от подделки запросов можно использовать механизм проверки подлинности, такой как токены CSRF (Cross-Site Request Forgery). 

Токены CSRF - это случайно сгенерированные уникальные значения, которые включаются в каждый запрос и проверяются на сервере для подтверждения подлинности запроса. Это позволяет обнаружить и блокировать поддельные запросы, исключая возможность их выполнения.

Чтобы предотвратить воссоздание запросов к серверу с использованием JavaScript и метода POST, можно использовать SSL/TLS для шифрования данных, а также реализовать проверку и аутентификацию пользователя на сервере. Также важно использовать надежные методы аутентификации и авторизации, чтобы исключить возможность несанкционированного доступа к серверу.

Дополнительно, рекомендуется использовать другие меры безопасности, такие как ограничение доступа к конфиденциальным данным, проверка входных данных на сервере, обработка ошибок, логирование действий пользователей и прочие.

Да, сымитировать запрос можно. Поэтому есть правило: "Нельзя доверять данным, которые приходят с клиента". Следовательно, данные с клиента нужно проверять на сервере. Критические данные и операции нужно подписывать или хэшировать, чтобы избежать подмены. Например, для защиты от Replay Attack используют одноразовые токены — при повторном запросе токен уже не сработает.

Да, сымитировать запрос можно. Поэтому есть правило: "Нельзя доверять данным, которые приходят с клиента". Следовательно, данные с клиента нужно проверять на сервере. Критические данные и операции нужно подписывать или хэшировать, чтобы избежать подмены. Например, для защиты от Replay Attack используют одноразовые токены — при повторном запросе токен уже не сработает.