Vimeo iframe注入广告软件?

时间:2015-10-28 16:17:17

标签: javascript security iframe malware

我安装了uBlock原因(基本上是adBlock),并开始注意到我的控制台上阻止了一些奇怪的请求:

enter image description here

我检查了什么是“记分卡研究”,结果证明它不值得信赖source of adware/possibly malware.

由于我在我的网站上收到了孤立的事件,因此我深入研究了我的源代码并注意到它是由Vimeo视频iframe请求的(我通过删除它们并且请求已停止确认了这一点)。

不幸的是,这些是我们网站的重要组成部分。有谁知道为什么/如何Vimeo iframe引起这个问题?

2 个答案:

答案 0 :(得分:3)

scorecardresearch.com是一项跟踪服务。

它与恶意软件相关的原因是它由comScore拥有,comScore也运营MarketScore间谍软件(又名Netsetter,相关知识,PremierOpinion,PermissionResearch,MySHCCommunity)。过去,MarketScore与第三方应用程序(如文件共享应用程序)密切捆绑在一起,导致其被视为不受欢迎且通常是恶意的。

此特定跟踪网站在主要网站上广泛使用,并且本身并未传播恶意软件。 Vimeo不太可能知道或关心comScore在未经请求的商业软件方面的背景。 (让我们面对现实吧,大多数在线广告的主要参与者在他们的过去都有一些非常阴暗的东西。)

通常,如果您想在自己的网站上播放视频但又不希望第三方在网站上跟踪您的用户,则您必须自己托管视频。

答案 1 :(得分:0)

即使您的原始问题只是问“这是否发生?为什么/如何发生?”,我冒昧地回答了一个后续问题,即:

如何避免这种情况?

如果您网站的代码呈现用于播放视频的Vimeo iframe,则可以通过将&dnt=1添加到iframe网址来告知Vimeo不使用跟踪信标或Cookie。遗憾的是,使用Vimeo.Player构造函数选项无法做到这一点,因此您必须手动创建iframe - 无论是HTML格式还是JavaScript格式。

/* This will not work: */
let player = new Vimeo.Player('player_div_id', {
    id : '1234567',
    dnt : true
});

/* Instead, create the iframe yourself: */
let iframe = document.createElement('iframe');
iframe.setAttribute('src', 'https://player.vimeo.com/video/1234567?dnt=1');
iframe.setAttribute('frameborder', '0');
// set other attributes...
parent_element.appendChild(iframe);
let player = new Vimeo.Player(iframe);

/* Or have the iframe in the server-generated HTML and just: */
let iframe = document.getElementById('playerframe');
iframe.setAttribute('src', 'https://player.vimeo.com/video/1234567?dnt=1');
let player = new Vimeo.Player(iframe);

如果您要嵌入自己创建的Vimeo内容,这可能会降低视频统计信息的实用性,但至少您不会将用户暴露给第三方跟踪!