Javascript 谷歌分析如何防止流量欺骗

我们希望将ajax风格的服务嵌入到我们的许多网站中，每个网站都有一个唯一的api键。我看到的问题是，由于api密钥存储在javascript文件中，用户可能会获取密钥，欺骗http引用者，并在该api密钥下向api发出数百万个请求

所以我想知道谷歌如何防止分析欺骗？因为这使用了几乎相同的想法

我也对其他想法持开放态度，基本上就是这个过程

SiteA->User Ajax SiteB

---

编辑-在通过ajax调用API时，是否有任何方法可以防止API被滥用？

我猜，密钥是公私密钥对的一半，它（以某种方式）将URL作为哈希包含。这样，如果请求是针对生成密钥的URL，则密钥将只起作用，并且只注册命中。你不能欺骗请求，因为如果你这样做，它会转到错误的URL，什么也不会发生。

我不相信有任何这样的保护措施。欺骗流量对于其他谷歌服务来说是一个严重的问题，比如Adwords。例如，一个恶意的个人在adwords上竞价，可能会为竞争对手的广告产生许多虚假点击，从而推高他们的广告成本，从而推高谷歌的股价。反之亦然，人们会在他们的网站上产生虚假点击，从他们网站上的付费点击广告中获得额外的钱

在一天结束时，黑客可以毫无困难地收集10000多个匿名代理服务器的列表，而你对此无能为力。黑客也可以使用僵尸网络，其中一些规模达数百万。僵尸网络产生的流量可能看起来是带有合法谷歌Cookie的合法机器，因为它们被劫持了

---

许多代理和bonet'ed机器由实时黑名单（RBL）枚举，如运行的黑名单，许多合法ip地址也在该名单上。还有一些代理不能用于垃圾邮件，但可以用于点击欺诈，因此它们不会出现在该列表中

即，推荐人检查。这并不能防止引用者欺骗（我猜问题中的“欺骗http引用”的意思是）@是的，这就是我的意思。我将编辑以澄清这一点。我不认为您描述的是一个真正的安全系统。好的，是的，引用者欺骗是另一回事，从这里的对话中没有很好的方法来对付它。“欺骗http引用”是什么意思？发送一个假的HTTP引用头？我不确定GA是否能防止这种情况发生。修复了向“http参考者”澄清的问题，这是一个旧线程，但可能会帮助谷歌用户。这里有一个关于stackexchange的答案，它描述了一种可能的保护方法：所以本质上你说的是没有真正的方法来防止我所描述的欺骗？如果攻击者有一堆代理或被黑客攻击的机器，那么没有办法阻止这种类型的欺骗。甚至不需要被黑客入侵的机器或代理。如果我使用您的API密钥并伪造您的引用头，我可以使用问题所描述的AJAX风格的服务。除非其他措施到位…@bzlm，否则检查ip地址和限制请求数量将是微不足道的。Rook我同意。但这并不能防止问题中提出的问题。不过，我不知道会发生什么。