socket.emit("new player", {user: username, x: localPlayer.getX(), y: localPlayer.getY()});

gameStatus = "trolled lol troll client-side editing lol";

你不能这么做。

你永远不能相信来自客户端的任何东西。
即使您可以以某种方式从您的页面影响控制台，攻击者也可以编写自己的web浏览器(即:fork Chromium)并绕过您的限制。
或者攻击者可以在没有任何浏览器的情况下简单地手工处理HTTP请求。

相反，您需要验证服务器上的所有内容。
当任何客户端做某事时，服务器需要检查该客户端是否被允许这样做。

正如SLaks所指出的，没有办法阻止某人的黑客攻击，对于javascript/html客户端来说更是如此，因为它更容易。正如我在我的评论中所说，有很多方法可以阻止或使它变得更难。我张贴更多的建议

1. 混淆javascript代码
2. 使用加密方法并在使用密钥发送之前加密所有向服务器发送的请求(使其难以找到密钥)
3. 在服务器端使用与javascript客户端相同的加密方法和密钥解密请求。

我们所说的不信任来自客户端的东西是指在创建表单时所做的事情。您通常检查post方法，会话，与您发送的有意义的数据无关的唯一令牌-通常是在服务器端创建的隐藏文本输入，并在提交表单时检查。搜索验证和清理表单。最重要的是，你应该加密发送的数据，这样就不可能使用chrome或firebug上的网络选项卡甚至是适当的流量分析器来重建结构。