Ale*_*exH 7 github-pages google-search-console
Google Search Console 提供了几种声明网站所有权的方法。推荐的方法是下载 HTML 验证文件并将其上传到您的站点。另一种方法是向您的 HTML 添加一个元标记,该标记具有特定的唯一代码作为其content属性。
这是我的问题:如果我的网站作为公共存储库托管在 GitHub Pages 上,如果其他人可以查看,我上传所述文件或在我的 HTML 中包含所述元标记是否安全?以后有没有办法让某人恶意使用这些文件来访问我的 Google Search Console 帐户和/或任何特权站点流量/分析信息?
发布该文件是完全安全的。实际上,如果每个人确实将其上传到他们的服务器或将其添加到meta.
任何人都可以通过将文件名称附加到任何经过验证的Google Search Console站点的 URL 来访问该文件。如果他们把它放在meta一个站点中,那就更容易了,因为你总是可以查看源代码。您从 google 获得的令牌是完全随机且唯一的。Google 只是想检查您是否有权访问服务器的文件系统。如果其他人将其上传到他们的网站,您也可以证明他们的网站是您的。单独的令牌不能对任何东西进行身份验证。
最好的证据是 YouTube 也发布了它的代币。如果您进行TXT查找,youtube.com则会得到以下结果:
TXT | youtube.com | google-site-verification=OQz60vR-YapmaVrafWCALpPyA8eKJKssRhfIrzM-DJI
这是安全的,并且以前已经做过。
\n\n这是关于网站的所有权,而不是对您自己的Google Search Console(仍链接到您的 Google 帐户)的身份验证/授权。
\n\n官方文档是“ Google Site Verification API ”:
\n\n\n\n\n仅当用户的验证数据显示他们是特定网站域的所有者时,用户才能访问某些 Google 服务。
\n\n您可以使用 API 为经过身份验证的用户生成验证令牌,您的代码可以代表他们以各种方式将其放置在您的网站或域记录上。
\n\n令牌到位后,您可以调用 API 来要求 Google 检查令牌。
\n\n
\n 如果 Google 找到该令牌,则会将经过身份验证的用户注册为网站或域的所有者。所有API调用都需要经过身份验证的用户授权,并且所有API调用都在经过身份验证的用户帐户的上下文中执行。
\n
这意味着:即使第三方获得了您的令牌,它也无法用它做任何事情,因为您(经过身份验证的 Google 帐户用户)不会授权使用它进行任何 API 调用。
\n\n进一步来说:
\n\n\n\nGoogle Site Verification API对其使用方式施加了一些限制:
\n\n\n
\n- 仅限经过身份验证的用户访问数据:所有操作都需要用户身份验证和授权。
\n- 仅验证经过身份验证的用户:API 只能验证当前经过身份验证的帐户的站点或域的所有权。
\n
\n 但是,经过身份验证的用户可以在验证网站所有权后将所有权委托给其他用户。
\n 请注意,只要所有权列表发生更改,所有所有者都会收到电子邮件通知。- 仅规范化网址和域名:Google 网站验证 API 不支持 IDN(国际域名)编码。
\n
\n 如有必要,请务必使用 Punycoding 将所有 URL、域名和电子邮件地址域标准化为标准域名字符集 (RFC 1034 \xc2\xa73.5)。
| 归档时间: |
|
| 查看次数: |
1349 次 |
| 最近记录: |