Eigentlich müsste es doch hunderte von Möglichkeiten geben den Key im Quelltext zu verstecken, und dort auf X verschieden Arten zusammen zu setzten.

Es sollte ja nicht gegen User schützen, die Ahnung haben und den Key suchen, sondern nur gegen Autoklicker und die so intelligent zu machen, dass die den Key immer finden, halte ich für so gut wie unmöglich.

Man kann den Key ja aus X Verschiedenen Variablen zusammenseztzen.
Falls man per JS auch Eigenschaften der Webseite auslesen kann, könnte man auch diese Eigenschaften für die Zusammensetztung des Schlüssels nutzen.

Wenn man dann mit einer Relativ komplizierten funktion, aus diesen vielen Möglichleiten den Key per Script erzeugt, sollte es für Autoklicker extrem schwer sein, den key nach einer Änderung auszulesen, ehrliche User würden gar nichts bemerken.

Dann wären Autoklicker, die den Quelltext analysieren nicht mehr effektiv und normale User würden gar nichts bemerken.

Das PHP Script, welchen das Java Script erzeugt, müsste natürlich ensprechend variabel funktionieren und z.B. die Variablennamen aus denen sich der Key zusammensetzten soll immer ändern.

Gegen Autoklicker, die über einen internen Browser, die Klick.php aufrufen und einfach alle Links aufrufen, die sich dort befinden und eine "TAN" in der URL beinhalten, würde ich die von mir schon mal vorgeschlagenen verlinkten Pixel nutzen. (da muss dann halt eine Melde oder Minuskampange hinterstecken, die anhand Ihrer TAN nicht von einer normalen Kampange unterschieden werden kann).