谷歌分析事件是否跟踪javascript安全

时间:2015-08-28 16:36:06

标签: javascript ruby-on-rails google-analytics measurement-protocol

Google Analytics(分析)提供了使用以下javascript调用跟踪您网站上发生的特定事件的功能:

ga('send', 'event', 'button', 'click', 'nav buttons', 4);

此处记录了这些内容:https://developers.google.com/analytics/devguides/collection/analyticsjs/events

我想知道这是否安全?

用户无法在Chrome网络工具中打开javascript控制台,随机调用随机参数传递ga并搞乱我们的网站分析!?

或者一个更令人沮丧的用户甚至可以添加一个小的javascript循环并运行无限次调用ga事件跟踪?

如果是这样的话,那似乎很荒谬!在我看来,这种事情需要服务器端。我很困惑谷歌会提供这个客户端选项而不考虑准确性和安全性!我错过了什么!?

1 个答案:

答案 0 :(得分:3)

正如评论者提到的那样,真的不应该使用Google Analytics来验证任何内容,并且总是用一点点盐来处理数据。

但是你的假设是正确的,现在 是一个问题。我没有经历过有针对性的攻击,但没有理由不会发生这种情况。要在您的帐户中查看此操作,您可能会发现大量垃圾邮件推介。

收购>所有流量>推介

enter image description here

现在比以往任何时候都更广泛的原因是Google Analytics Measurement Protocol垃圾邮件发送者实际上可能导致您的Google Analytics数据出现问题,甚至无法访问您的网站(垃圾邮件是按照Google Analytics ID和#顺序完成的39;!S)

修复?不幸的是,如果有人专门针对您的网站,那么就不存在这一点,因为目前目前无法区分命中(或仅接受经过身份验证的服务器端点击)。对于推荐流量,您可以在"主机名"上尝试包含过滤器。 (因为此垃圾邮件通常不会知道/提供匹配的域名)或使用永无止境的排除列表追踪引荐。