使用Google Analytics,您可以跟踪电子商务事件,
http://code.google.com/apis/analytics/docs/tracking/gaTrackingEcommerce.html
我想知道这是否是一种安全可靠的方式来跟踪这些交易。
我看到的问题是攻击者可以添加新事件,因此,如果这是您存储金融交易的方式,那么任何人都可以更改它们以查看您的javascript代码。
以下是可能滥用此代码的方案。
您有一个名为Client C的客户端,他访问网站并购买产品P,然后使用此工具存储交易。然后攻击者访问您的网站并修改您的javascript并跟踪其他10个购买,这样您的数据显示客户C已购买10个P,当您向客户C发票时,他会生你的气。
这样攻击者基本上可以攻击您的客户,并损害您的声誉。
我说错了吗?有没有办法解决这个问题?在我看来,使用Javascript跟踪任何东西都可能容易发生这种攻击,或者可能有任何方法使它们变得安全或不安全。我不知道他们是否可以被称为请求伪造攻击。你觉得怎么样?
答案 0 :(得分:2)
哇!我绝不会使用分析来帮助您按照您刚才所说的确切原因向客户开具发票!如果你想密切关注交易并且可能对这些交易进行一些报告,这很好,但是数据从来不应该是100%字面意思,因为有很多原因导致某些交易可能无法跟踪,而其他交易可能略有错误/复制。您应该有一个存储事务的系统,并从安全存储在服务器上的发票构建发票。
答案 1 :(得分:1)
只是为了确保,听起来你担心有人会修改其他人看不到的代码。某人无法将您的服务器发送的JavaScript修改为所有人。他只能修改您的服务器发送给他的JavaScript。
然而,除此之外。使用JavaScript来做任何应该在服务器端完成的事情(比如跟踪/记录购买)是一个坏主意。 JavaScript仅用于观看用户无法更改的内容。