Google Analytics如何避免欺骗?

因此,我试图弄清楚Google Analytics如何避免欺骗。 当然,当您注册一个帐户时,他们会通过上传文件来validation您是否拥有该域名。 但是,您也得到了一些带有唯一公共代码的脚本标签(用下面的“XXXXXXX”代替)。 什么阻止某人复制该代码,欺骗请求头,并假装成为我的网站,通过curl遵循Google的身份validation策略?

<script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'XXXXXXX']); _gaq.push(['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script> 

我问的原因是因为我试图创build一个类似的JavaScript插件,将我的网站数据公开给参与网站(“客户”)。 我不知道如何在客户端的服务器端没有私钥的情况下获得这个function。 这真是太糟糕了,因为我真的希望整个Google Analytics(分析)能够整合起来。 有什么想法吗?

这听起来像这个问题真的没有任何关系,谷歌分析(我真的build议你删除你的问题,因为我认为这是误导大多数人,而不是让你更接近你的答案)。

你有一些数据,你只想与选定的网站分享。 除了用某种授权scheme保护数据,然后给选定的站点某种types的密码或密钥,让他们可以访问它,而没有给予密钥的其他人不会得到这些信息访问数据。 即使这个scheme只适用于访问数据的代码位于服务器上的私有区域(密钥/密码可以被保护),而不是浏览器中的JavaScript。

至于GA欺骗(我认为这与你真正的问题没有任何关系),我怀疑Google并不担心这一点,因为除了一般的GA拒绝服务攻击之外(我怀疑他们是否有保护),有什么好处是logging命中别人的网站? 无论谁在做,都无法访问数据,因为数据在别人的GA帐户中。 我想可以这样做,因为有人试图搞砸他们的遗传algorithm的烦恼,但没有更多的有利可图的动机,可能没有很多人试图做到这一点。

有趣的问题。

正如评论提示,谷歌并没有真正解决这个问题。 事实上,通常有条件代码/预处理的东西,以禁用你的登台站点/开发盒GA,因为如果你不这会搞砸你的号码。

分析服务器,客户服务器和客户端可以尝试一种三足式的方法。 它可以这样工作:

  • 客户的服务器和分析服务器共享一个密钥。 当客户点击客户的网站时,客户的服务器会告诉您的分析服务器要开始跟踪这个特定的客户。

  • 您的分析服务器为该用户生成一个会话ID,并向客户的服务器返回一个dynamicURL。 该URL指向您的JavaScript跟踪代码(或其加载器),注入了会话ID。

  • 客户的服务器将页面发送给客户端。 该页面包含具有唯一会话ID的客户端跟踪代码。 操作被跟踪并发送到您的分析服务器。

  • 在您的分析服务器上,您会从客户机器接收跟踪信息。 您检查会话ID是否有效,并且IP地址是否匹配。

这应该提供额外的安全级别。 不幸的是,它不会像“Google Analytics(分析)集成…一样容易”,这将涉及服务器端的客户参与。 对于跟踪未经客户validation的用户来说,这也不算什么好事,因为第三方可以简单地访问您的客户的网站以获取有效的会话ID,然后向您的分析服务器发送一些假信息。 但是,对于客户网站validation的客户,这可能会有用。

祝你好运!