我们向合作伙伴提供外部JS脚本,这些脚本包含在他们的电子商务网站中。基本上,只要购买了产品,他们就会调用一个功能,这样我们就可以记录我们推荐的购买转换,并且还可以更改购买商品的状态(商品设置为已购买)。
但是,因为我们的脚本是在客户端执行的(为了使我们的合作伙伴的实现变得简单),攻击者可以利用它们向虚假的请求发送垃圾邮件。为每个请求实施私钥策略以确保他们的合法请求是无用的,因为它们无论如何都会暴露给公众。
我不认为ReCaptcha或隐形验证码是一种选择,因为请求必须尽可能快,我们使用像素图像发送请求。因此,我们想知道Google Analytics,Google AdSense等服务如何检测并阻止非真实用户发送的垃圾邮件请求或请求。
我们确实理解,因为实施只是客户端,所以没有100%的预防。我们只是希望我们能够让它变得非常困难,以至于它不值得攻击者付出时间和精力。
那么,确保对API提出请求的可能解决方案是真实用户实际操作的结果?