Google Analytics - 它可以收集表单数据吗？

Posted 2021-05-04

简单场景：我有一个注册表，用户名，密码，电子邮件地址，可能是信用卡号。

在页面底部，我实施了Google Analytics代码。 当用户点击提交时，它会转到google analytics的页面。

问题是..用户输入数据后，GA能否以第一种形式获取数据（用户naem，密码...电子邮件等）？

他们在服务条款或隐私政策中是否对此有所说明？

答案

是。您在页面中包含的任何<script>都具有完全访问权限，可以根据同源策略更改用户与站点的交互。谷歌，如果他们今天感觉邪恶，肯定可以重写action的<form>指向自己，或记录每个按键，或创建包含您网站上的另一个页面的<iframe>并模拟用户点击该页面中的任何操作。

不要在您不完全信任的一方的任何页面上包含<script>以及您网站上所有内容的安全性。即使任何页面上的单个跟踪或广告客户脚本也会破坏同一主机名上的所有内容（如果您设置window.domain以允许跨主机名脚本或在主机名之间共享Cookie，则可能会破坏其他子域）。

但是，Google Analytics脚本目前不会执行任何此类操作，并且表单提交不会自动流向Google;他们必须故意采取行动窃取数据。很明显，他们被发现这样做会是灾难性的，所以他们可能不会这样做。但从技术上讲，他们可以。在银行网站上查看第三方广告和跟踪脚本总是让我感到很痛苦。

另一答案

更新：自从我下面的原始答案被写入以来，这些年来的情况发生了很大变化：脚本现在通常通过HTTPS提供服务（或者至少可以选择获取），因此这些脚本应该是安全的，以防止琐碎的人在中间的攻击。但是，您仍然相信脚本源不会在您的页面中执行恶意操作，因为他们仍然可以完全控制您网页上发生的事情。

---

原始答案：

是。我建议不要在SSL保护的敏感页面上放置任何第三方脚本。谷歌不太可能会劫持您网页上的敏感数据，但您应该考虑恶意ISP可能会将请求（例如，使用DNS）劫持到Google Analytics脚本并在您的网页上执行任何操作。