JavaScript (和移动)API如何保持用户数据的清洁？

Question

假设我们运行的是Google Analytics，我们跟踪用户特定的数据(或者根据这些数据显示内容，比如最近浏览的页面) --我们添加了一个像素，然后将用户数据传递给Analytics平台。如何防止恶意用户根据随机用户ids传递一堆垃圾数据？

移动设备也是如此；假设我们集成了客户服务SDK (如Zendesk )。通常情况下，我们必须在应用程序中包含一个密钥或证书。怎样才能阻止恶意用户反编译我们的应用程序，然后使用应用程序中提供的证书，从他传递的任何用户id中读取所有的用户票？

作为应用/web开发人员和SDK开发人员，我们能做什么来阻止这些类型的攻击呢？

Answer 1

我不知道任何保护机制，我从未在现有的网络应用程序中看到过任何东西。这是客户直接向第三方发送请求的固有问题。在这种情况下，跟踪/分析服务。

您可以尝试混淆创建请求的JavaScript，但是像谷歌这样的平台有一个明确的文档化的API。

甚至还有一个关于如何通过在另一个使用谷歌分析的网站上使用帐户来破坏这些数据的博客帖子。

您可以尝试跟踪用户服务侧。当然，在对它们进行身份验证后，您可以跨请求跟踪会话。但是这并不能给你提供一些JavaScript特性所能得到的详细信息。未经身份验证的用户可以继续请求新的会话，而您不会知道。

如果您的数据是由机器人生成的，您将永远无法百分之百地确定您的数据是否生成。有人也可以抓取你的网站或使用像selenium这样的工具来自动化某些用户的行为。一些指标，如用户代理、定时和HTTP头，可以帮助识别这些自动访问。