在一个预约页面,想通过 tampermonkey 跑点脚本隔段时间 reload 看看有没有位置然后给手机发推送,结果发现网页在发送一大堆分析日志。研究了下代码(其中一个应该是 1DS),真的挺丧心病狂的。因为页面要登陆,所以后台能精准锁定用户。
1. fetch 被劫持了,给自己发推送的 HTTP 请求会被记录
2. beacon 发不出来
3. 创建 img.src 的方法都会被记录
4. 对网页的任何更改都会捕捉
我怀疑打开 console 的动作都会被捕捉。
退出登陆页面,url 里一大堆 hash 的 id 。
怕了怕了,第一次意识到天网给人的压迫感(对啊,你不做亏心事又怕啥呢? :D
至于中间人之类的手段,我是不敢搞了,因为听说中间人都能被检测到,反爬虫工程师创造的璀璨文明
1. fetch 被劫持了,给自己发推送的 HTTP 请求会被记录
2. beacon 发不出来
3. 创建 img.src 的方法都会被记录
4. 对网页的任何更改都会捕捉
我怀疑打开 console 的动作都会被捕捉。
退出登陆页面,url 里一大堆 hash 的 id 。
怕了怕了,第一次意识到天网给人的压迫感(对啊,你不做亏心事又怕啥呢? :D
至于中间人之类的手段,我是不敢搞了,因为听说中间人都能被检测到,反爬虫工程师创造的璀璨文明
 |
1
codehz 3 天前  1
tampermonkey 不是有自己的 xhr 替代吗,那个可以绕过各种网站的限制。。。
|
 |
2
follower 3 天前
无头浏览器跑起来
|
 |
3
nowheremanx OP @follower 之前玩过 selenium 这种,检测机制很完善了吧。碰到过网站可以检测 selenium ,搞了好久才绕过检测。。。
|
|
4
nowheremanx OP @codehz 用了他自己的请求函数,真的没有产生日志了。。。感谢感谢!
|
 |
5
yb2313 3 天前
那怎么绕过
|
 |
6
musi 3 天前 4
可以通过创建一个同域 iframe 来绕过 fetch 劫持,like this:
const iframe = document.createElement('iframe') iframe.src = 'about:blank' document.body.appendChild(iframe) iframe.contentWindow.fetch === window.fetch // false |
 |
7
lrabbit 3 天前
现在都用指纹浏览器跑这种检测非常严格的网站了
|
 |
8
drymonfidelia 2 天前
检测到用户写代码调用 fetch 还单独发请求报告只能算初级的
我见过很多网站都是检测到非法操作 悄悄改 cookies 里的 flag 下一个请求再同步 用户完全无感 |
Select Language