Mur*_*lai 5 forms google-analytics data-collection
简单场景:我有一个注册表,用户名,密码,电子邮件地址,可能是信用卡号.
在页面底部,我实施了Google Analytics代码.
当用户点击提交时,它会转到google analytics的页面.
问题是..用户输入数据后,GA能否以第一种形式获取数据(用户naem,密码...电子邮件等)?
他们在服务条款或隐私政策中是否对此有所说明?
bob*_*nce 17
是.由于同源策略,<script>您在页面中包含的任何内容都具有完全访问权限以更改用户与站点的交互.谷歌,如果他们今天感觉邪恶,当然可以重写action你<form>的指向自己,或记录每个按键,或<iframe>在你的网站上创建一个包含另一个页面,并模拟用户点击该页面中的任何操作.
不要<script> 在您不完全信任的一方的任何页面上包含您网站上所有内容的安全性.即使任何页面上的单个跟踪或广告客户脚本也会破坏同一主机名上的所有内容(如果您设置window.domain为允许跨主机名脚本或在主机名之间共享Cookie,则可能会破坏其他子域).
但是,Google Analytics脚本目前不会执行任何此类操作,并且表单提交不会自动流向Google; 他们必须故意采取行动窃取数据.很明显,他们被发现这样做会是灾难性的,所以他们可能不会这样做.但从技术上讲,他们可以.在银行网站上查看第三方广告和跟踪脚本总是让我感到很痛苦.
| 归档时间: |
|
| 查看次数: |
2490 次 |
| 最近记录: |