今天在看一个小demo的代码时,发现所有的页面都在闭合</html>标签之前,有一段被注入的JavaScript 脚本(具体JS代码参看下文),不知道是何意,鄙人也看不懂其中的逻辑,于是在度娘上搜了一下,才发现这是一段域名注册提供商给托管网站私自加入的跟踪代码,如果大家有碰到这样的代码,可以参考,以下内容来自网络...
全球知名域名注册和托管商 GoDaddy 私自向被托管的网站添加跟踪代码用于收集某些未知信息。这个问题是外媒IGOR KROMIN调试网站时发现的,当时在调试控制台发现某个并非网站开发者添加的代码。
能被发现主要是这段跟踪代码加载速度较慢甚至加载失败,因此在调试控制台首页底部直接显示错误信息等。
<html>
<body>...</body>
<script>
// Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.
// 监控性能让您的网站更快,如果您想选择退出,请联系您的网站托管支持
'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'})
</script>
<script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>
</html>这段代码里有个注释进行简要说明:监控性能让您的网站更快,如果您想选择退出,请联系您的网站托管支持。IGOR KROMIN在确信不是自己添加的代码后想起 GoDaddy 托管商,网站使用该托管商的服务器进行托管。
网站所有页面都会被注入此代码:
托管商 GoDaddy 在支持文章中称如果用户恰巧是美国用户,那么会被自动开启此功能所有网站被注入代码。同时在支持文章中 GoDaddy 也承认此跟踪代码可能会拖慢甚至破坏网站,但这主要用于提高网站性能等等。
对于不想使用此功能的用户可以在托管服务器配置页面选择退出,退出后 GoDaddy 便不再自动诸如代码等。
看清楚服务协议非常重要:
对于用户来说被私自注入代码看起来是个极大的侮辱,但实际上 GoDaddy 已经在用户服务协议中说明这个。所以用户是使用时看到相关协议的内容时还是要仔细看的,不然服务商把各种东西加进去也算你同意协议了。
最后提醒使用 GoDaddy 的用户最好仔细检查自己的各种使用协议,以免因为没看到而被各种带坑协议捆绑。
参考资料:GoDaddy偷偷地将JavaScript注入您的网站以及如何阻止它
参考资料:域名注册商 GoDaddy 被指悄悄在托管网站页面植入脚本
202
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
