[闲聊天网] 现在网页的分析脚本真的丧心病狂啊

163 天前
 nowheremanx
在一个预约页面,想通过 tampermonkey 跑点脚本隔段时间 reload 看看有没有位置然后给手机发推送,结果发现网页在发送一大堆分析日志。研究了下代码(其中一个应该是 1DS),真的挺丧心病狂的。因为页面要登陆,所以后台能精准锁定用户。

1. fetch 被劫持了,给自己发推送的 HTTP 请求会被记录
2. beacon 发不出来
3. 创建 img.src 的方法都会被记录
4. 对网页的任何更改都会捕捉

我怀疑打开 console 的动作都会被捕捉。

退出登陆页面,url 里一大堆 hash 的 id 。

怕了怕了,第一次意识到天网给人的压迫感(对啊,你不做亏心事又怕啥呢? :D

至于中间人之类的手段,我是不敢搞了,因为听说中间人都能被检测到,反爬虫工程师创造的璀璨文明
3369 次点击
所在节点    程序员
8 条回复
codehz
163 天前
tampermonkey 不是有自己的 xhr 替代吗,那个可以绕过各种网站的限制。。。
follower
163 天前
无头浏览器跑起来
nowheremanx
163 天前
@follower 之前玩过 selenium 这种,检测机制很完善了吧。碰到过网站可以检测 selenium ,搞了好久才绕过检测。。。
nowheremanx
163 天前
@codehz 用了他自己的请求函数,真的没有产生日志了。。。感谢感谢!
yb2313
163 天前
那怎么绕过
musi
163 天前
可以通过创建一个同域 iframe 来绕过 fetch 劫持,like this:

const iframe = document.createElement('iframe')
iframe.src = 'about:blank'
document.body.appendChild(iframe)
iframe.contentWindow.fetch === window.fetch // false
lrabbit
163 天前
现在都用指纹浏览器跑这种检测非常严格的网站了
drymonfidelia
163 天前
检测到用户写代码调用 fetch 还单独发请求报告只能算初级的
我见过很多网站都是检测到非法操作 悄悄改 cookies 里的 flag 下一个请求再同步 用户完全无感

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1123485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX