我们希望将ajax风格的服务嵌入到我们的许多网站中,每个网站都具有唯一的api密钥。我看到的问题是,由于api密钥存储在javascript文件中,因此用户可能会采用该密钥,欺骗http引荐来源网址,并在该api密钥下向api发出数百万个请求。
因此,我想知道Google如何防止Google Analytics(分析)欺骗?因为这使用几乎相同的想法。
我也对其他想法持开放态度,基本上这就是过程。
SiteA->用户<-> Ajax <-> SiteB
编辑-通过ajax调用API时,有什么方法可以防止API被滥用?
我不相信有任何这样的保护措施。对于其他Google服务(例如Adwords),欺骗性流量是一个严重的问题。例如,对adwords出价的恶意个人可以为其竞争对手的广告产生许多虚假点击,从而抬高其广告成本,进而抬高Google的股价。反之亦然,人们将在其网站上产生虚假点击,以从其网站上的PayPer Click广告中获得额外收益。
归根结底,黑客可以毫不费力地积聚10,000多个匿名代理服务器列表,对此您无能为力。黑客还可以使用僵尸网络,其中一些僵尸网络的大小为数百万。僵尸网络产生的流量似乎是带有合法Google Cookie的合法机器,因为它们被劫持了。
实时黑名单(RBL)枚举了许多代理服务器和带有骨头的机器,例如由http://www.spamhaus.org运行的黑名单,并且该列表中还包含许多合法的IP地址。还有一些代理不能用于垃圾邮件,但可以用于点击欺诈,因此它们不会在该列表中。