現在、ブログ投稿アプリケーションの実装をしているところでして、
テンプレートにカスタムユーザのPKを直接渡してDBに登録させる仕様になっています。

◆Viewより抜粋

def get_context_data(self, **kwargs):
    context = super().get_context_data(**kwargs)
    context['user_pk'] = self.request.user.pk
    return context

◆テンプレートより抜粋

<div class="form-group col-md-11">
    <label for="id_author">著者</label>
    <input type="hidden" name="{{ form.author.name }}" id="{{ form.author.id_for_label }}" value="{{ user_pk }}" >
</div>

そこで、hiddenでフォームは表示させておりませんが、devtoolsでは当然のことながら参照ができてしまいます。
ですので、もし他ユーザのPKを取得された場合、投稿ユーザの改ざんが可能になってしまいます。

セキュアな部分ですので、可能ならソース側のみで完結させたいのですが、その場合どう実装したらよいでしょうか?