如何防止恶意代码调用我的 javascript答案

【问题标题】：How to prevent malicious code from calling my javascript如何防止恶意代码调用我的 javascript
【发布时间】：2012-04-17 12:21:26
【问题描述】：

我在位于http://example.com/analytics.js 的文件中包含此代码，并在 HMTL 头中引用。下面的代码是我想做的一种 Javascript 伪代码

function collectStatistics(){
    // this function will send the page view to my server
    recordPageView(window.location.href);
}

如何防止恶意代码和垃圾邮件发送者滥用我的 recordPageView 功能？他们可以做的最简单的事情就是将它放在浏览器控制台的循环中，如果我限制它，他们可以在循环中放置一个计时器......等等

谢谢

【问题讨论】：

【解决方案1】：

你不能。客户端代码完全可以破解，句号。任何查看该页面的人都可以很容易地以循环或其他方式触发对collectStatistics 的调用。或者他们可以更进一步，查看您在recordPageView 中发送的内容，然后直接执行。

您所能做的就是在服务器端跟踪这些东西并寻找滥用模式，这正是 Google 和其他公司对其广告网络所做的事情。

【讨论】：