html - 可嵌入的第 3 方网络工具安全防止窃取密钥
问题描述
我们正在建立一个网站,并且我们使用了大量的第三方工具,这些工具基本上会给您一个 HTML 脚本标签,并要求您将它放入您的 index.html 中。此类工具的一些示例如下:
- 谷歌分析
- 谷歌地图
- Zendesk 网络小工具
通常,此类工具会为您提供某种可识别您帐户的密钥。但是该密钥对网站的每个访问者都是公开可见的,因为它被硬编码到 HTML 中。
因此我想知道是否有任何保护措施可以防止恶意用户获取我的密钥并将其用于不良目的,例如
- 向我的 Zendesk 收件箱发送垃圾邮件。
- 用虚假数据向我的谷歌分析发送垃圾邮件,这与真实的用户数据无法区分。
- 通过在他们的网站上重复使用相同的键来用完我的整个谷歌地图查询配额。
我还没有测试所有的场景,但是例如 Zendesk 可以在我们的开发/测试环境中开箱即用,这表明这可能是一个问题。
解决方案
由于谷歌分析和虚假数据的问题一直是我们最大的痛苦,我们一直在尝试一些东西。
将(垃圾邮件)域添加到 htaccess 并阻止访问该网站:
RewriteCond %{HTTP_REFERER} net-profits\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} social-widget\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} share-buttons\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} free-traffic\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} traffic2cash\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} website-analyzer.info\.xyz [NC,OR]
RewriteCond %{HTTP_REFERER} semalt\.com [NC,OR]
RewriteCond %{HTTP_REFERER} buttons-for-website\.com [NC,OR]
RewriteCond %{HTTP_REFERER} make-money-online\.7makemoneyonline\.com
RewriteRule .* - [F]
这让他们远离了。也许您将拥有更多或其他域。我认为 GitHub 上有一个开源列表,它是一个维护列表。
可能您可以阻止所有以 xyz 或 xxx(以及其他外来域)结尾的引荐来源网址,只要您确定没有任何您知道以合法方式链接到您的网站。
我做了一些阅读,也许我们无法解决所有问题: https ://medium.com/@gajus/do-not-protect-your-website-from-scraping-part-1-technology-barriers-b0ced398d16d
推荐阅读
- http - http请求中有多个get请求
- python - 尝试在while循环中除外 - python
- oracle - 我正在尝试在插入新行后使用触发器更新数据库中多个表中的 2 个字段
- angular - ngx-datatable - 引导主题 - 列标题
- entity-framework - 使用 EntityFramework 时如何限制 INSERT 中使用的列数?
- highcharts - Highcharts 跳过大型数据集的共享工具提示点
- react-native - 如何从 react-native 中的文本区域获取输入字符串
- azure - 如何通过 PowerShell 禁用 Azure 数据仓库的地理备份策略?
- visual-studio-code - 在 Visual Studio Code 工作区设置变量中转义反斜杠
- node.js - 错误:发送后无法设置标头。在 validateHeader (_http_outgoing.js:491:11)