Bien... lo veo de esta manera:
Coloco un id en un elemento y si deseo que la acción de ese elemento este disponible consulto por su id al server y este me retornaría por ejemplo un booleano para habilitarlo o no. y si de alguna manera lograran habilitar la acción en el cliente, al llegar la solicitud de la acción al servidor este validaría nuevamente y anularía la acción... así lo veo factible... ¿Lo veo bien?
Me preocupa mucho este tema porque hablo de un proyecto comercial que manejará dinero ajeno, lo que lo hace muy delicado y atractivo a las malas intenciones...