Godaddy私下将JavaScript注入使用他们主机的网站

bitbit
最后编辑于 2019年01月14日 开发

一位叫 Igor Kromin 的开发者,在使用Godaddy主机的网站上解决一个网站管理界面的问题时,发现了一个他不认识的JavaScript映射文件,而且JavaScript是从他的网站上加载的。

Igor Kromin检查了网站的文件系统、源代码、模板,并没有发现什么,但是网页上确实有陌生的JavaScript,看来应该是在加载的时候被注入的。

事实证明确实如此,Godaddy偷偷地将JavaScript注入了他的网站,并没有取得他的同意(实际上是帮他选了默认注入)。下面是注入的JavaScript代码,里面有一句注释:"Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support."

<script>'undefined'=== typeof _trfq || (window._trfq = []);'undefined'=== typeof _trfd && (window._trfd=[]),_trfd.push({'tccl.baseHost':'secureserver.net'}),_trfd.push({'ap':'cpsh'},{'server':'xxxxxxxx0000'}) // Monitoring performance to make your website faster. If you want to opt-out, please contact web hosting support.</script><script src='https://img1.wsimg.com/tcc/tcc_l.combined.1.0.6.min.js'></script>

Godaddy这么做,说是为了搜集指标,以提高网站性能。这个技术被称作Real User Metrics(RUM)这里有一个说明页面:Why am I signed up for Real User Metrics?

如果你恰好是美国客户,那么你将自动选择使用此服务,并且你的所有网站页面都会被注入这些JavaScript。而且文章中还承认,这个注入可能会减慢或破坏你的网站:"Most customers won't experience issues when opted-in to RUM, but the javascript used may cause issues including slower site performance, or a broken / inoperable website."

真是让人头大!

还好,可以在主机工作台选择关掉这个RUM。在主机控制台中,单击右上角的省略号(...),然后单击“帮助我们”。在出现的对话框中,单击Opt Out“选择退出”。

Igor Kromin的文章:
GoDaddy is sneakily injecting JavaScript into your website and how to stop it

登录注册后才能评论。