网站就这样被恶意攻击了

最近做公司的一个项目，项目中有一个模块给用户提供一个免费体验功能：每个用户只能使用一次。思路是这样的：

首次加载页面时先异步查询，判断用户是否已经体验过，如果用户已经体验，给用户提示信息，如果没体验，则允许用户体验。前台js代码如下所示：

var isLogin = false;  //判断用户是否登陆
var isFirst = true;  //判断用户是否已经体验
$(function () {
$.ajax({
type: "get",
url: "/EveryDayFree/Index/12",
dataType: 'JSON',
success: function (result) {
if (result["isLogin"] == 1) {
isLogin = true;
}
else {
isLogin = false;
}
if (result["IsFirst"] == 1) {
isFirst = true;
}
else {
isFirst = false ;
}
}
});
})
/*免费体验*/
function startwithfundingfree(id) {
if (isLogin == false) {
layer.confirm('请先登录', function () {
Login();
});
}
else {
if (isFirst == false) {
layer.alert("每个用户只有一次的体验机会，您已经体验过了！");
}
else {
window.location.href = "/EveryDayFree/WithFundingEveryDayFree/" + id;
}
}
}

如果用户按照正常的流程走，上面的代码是没有问题的。可就有那么一些人，他们就喜欢绕过你的js，通过程序post数据。起初，后台代码的设计忽略了这一点，结果就造成了一个用户一直在点击免费体验。这是坚决不允许存在的，通过为后台添加校验代码最终解决了问题。

var memberinfo = BLL.F_MemberBLL.GetMember.GetPartialInfo(UserId);//根据用户名进行用户详细信息的查询
if (memberinfo.IsFirst == true)
{
return PromptView(Url.Action("Index", "Home"), "每个用户只有一次免费体验的机会，您已经体验过了", "Error");
}

总结：做事情需要考虑全面些，做网站更是如此。

相关文献：asp.net前后台校验缺一可否