use*_*219 18 javascript security ajax spoofing
我们希望将ajax风格的服务嵌入到我们的许多网站中,每个网站都有一个独特的api密钥.我可以看到的问题是,因为api密钥存储在javascript文件中,用户可能会获取密钥,欺骗http引用者,并在该api密钥下向api发出数百万个请求.
所以我想知道谷歌如何防止分析欺骗?因为这使用了几乎相同的想法.
我也对其他想法持开放态度,基本上就是这个过程.
SiteA - >用户< - > Ajax < - > SiteB
编辑 - 有没有办法保护API在通过ajax调用时被滥用?
roo*_*ook 12
我不相信有任何这样的保护措施.对于其他Google服务(例如Adwords)而言,欺骗流量是一个严重的问题.例如,对adwords出价的恶意个人可以为竞争对手的广告产生许多虚假点击,从而提高广告费用,从而提高Google的股价.反之亦然,人们会在其网站上产生虚假点击,以便从其网站上的PayPer点击广告中获得额外收入.
在一天结束时,黑客可以在没有太多困难的情况下收集10,000多个匿名代理服务器的列表,并且您无法做很多事情.黑客也可以使用僵尸网络,其中一些是数百万的.从僵尸网络生成的流量似乎是具有合法谷歌Cookie的合法机器,因为它们被劫持.
很多代理服务器和bonet'ed机由实时黑名单(RBL),如一个运行列举的http://www.spamhaus.org,许多合法的IP地址也在名单上.还有一些代理不能用于垃圾邮件,但可能用于点击欺诈,因此它们不会出现在该列表中.
| 归档时间: |
|
| 查看次数: |
5311 次 |
| 最近记录: |