Google Analytics 如何防止流量欺骗

Question

我们希望将 ajax 风格的服务嵌入到我们的许多网站中，每个网站都有一个唯一的 api 密钥。我看到的问题是，由于 api 密钥存储在 javascript 文件中，因此用户可能会获取密钥、欺骗 http 引荐来源网址，并在该 api 密钥下向 api 发出数百万个请求。

所以我想知道谷歌如何防止分析欺骗？因为这使用了几乎相同的想法。

我也对其他想法持开放态度，基本上这就是过程。

站点A->用户<->阿贾克斯<-> SiteB

编辑 - 有什么方法可以保护 API 在通过 ajax 调用时不被滥用？

Answer 1

我不认为有任何这样的保护措施。对于 Adwords 等其他 Google 服务来说，流量欺骗是一个严重的问题。例如，恶意竞价 AdWords 的人可能会为其竞争对手的广告产生许多虚假点击，从而推高其广告成本，从而推高 Google 的股价。反之亦然，人们会在其网站上产生虚假点击，以从其网站上的按点击付费广告中获取额外收入。

最终，黑客可以轻松收集 10,000 多个匿名代理服务器的列表，而您对此无能为力。黑客还可以使用僵尸网络，其中一些规模达数百万。从僵尸网络生成的流量可能看起来是具有合法 Google Cookie 的合法机器，因为它们被劫持了。

许多代理和被绑定的机器都被实时黑名单 (RBL) 枚举，例如 http://www.spamhaus 运行的黑名单.org ，许多合法的 IP 地址也在该列表中。还有一些代理不能用于垃圾邮件，但可以用于点击欺诈，因此它们不会出现在该列表中。

Answer 2

据猜测，我认为该密钥是公私密钥对的一半，该密钥（以某种方式）包含 URL 作为哈希值。这样，只有当请求针对生成密钥的 URL 时，密钥才会起作用，并且只会注册命中。您无法欺骗该请求，因为如果您这样做，它会转到错误的 URL 并且不会发生任何事情。