在Chrome中识别人类与机器人的JavaScript API

前端小工
466 阅读5分钟

区分机器人和真人的浏览器标准,尊重公共网站的隐私

在过去,检测人类与机器人并不符合隐私。例如,如果我们在网站中使用reCaptcha,谷歌可以跟踪你的访客偏好。这对他们的隐私来说是不健康的。

另一方面,像hCaptcha这样的技术出现了,它直接替代了尊重隐私的reCaptcha。但是,用户体验并不是很好,因为它需要解决hCaptcha的挑战,并在他们访问的每个网站上重复这一挑战。

但是,是否有一种方法,我们可以避免所有这些麻烦,并在不侵犯隐私的情况下检测人类?

隐私通:在正确方向上的一个尝试

那么,如果有一种方法可以绕过CAPTCHA呢?

Privacy Pass,一个开源的网络扩展,是朝着正确方向迈出的一步,将隐私作为其核心。它通过使用一组令牌/通行证来帮助绕过CAPTCHA挑战的重复性。让我们来看看它是如何工作的:

  1. 用户必须下载Chrome/Firefox网络浏览器的Privacy Pass扩展。你可以看到Privacy Pass的图标。
  2. 访问CAPTCHA网站,回答CAPTCHA挑战,可获得30个令牌/通行证。
  3. 这些令牌被存储在扩展中,供将来使用。

这个概念很简单,当用户访问另一个页面时,隐私通行证扩展就会发出这些令牌/通行证。最重要的是,这些令牌/通行证都要经过一个被称为 "致盲 "的加密过程,以保护用户的隐私。

你可以参考最新版本的隐私通行证协议,了解更多信息。

但是,你可能会想,是否有任何标准的方式来实现浏览器原生支持的相同功能(不使用浏览器扩展)?

信任令牌API来拯救

谷歌最近已经开始开发一个信任令牌API。它是作为第三方cookies的替代解决方案而开发的,通过区分机器人和人类来打击在线广告的欺诈行为。

更重要的是,谷歌信任令牌将区分机器人和真正的人类,并在谷歌浏览器中淘汰 第三方Cookies。

让我们深入了解一下如何区分机器人和真正的人类。为了打击网络上的欺诈和垃圾邮件,它依靠的是建立信任信号。虽然信任令牌是非个人化的,但它们是以 "隐私通" 风格的加密,以避免被恶意用户伪造,并存储在用户的网络浏览器中。

信任令牌如何工作

首先要详细了解它,让我们从一个叫做发行人的实体开始。发行人可以是任何已经在谷歌浏览器注册为信托代币发行人的实体。

如果你愿意成为发行人,谷歌已经推出了Trust TokenOrigin Trial Issuer Registration

通常情况下,社交媒体网站和知名软件品牌成为被大量用户信任的发行人是有意义的。

_issuer-example.com_内部

因此,为了使其发挥作用,首先,网站访问者需要访问发行人的网页_(issuer-example.com_),该网页嵌入了以下代码片段:

fetch('https://issuer-example.com/issue', {

在_issuer-example.com_执行上述代码片断后,请求信任令牌使访问者的浏览器将信任令牌存储在一个新的浏览器存储中,称为 "信任令牌",如下所示。

在这里,你可能需要在访问发行人-example.com时面临挑战,以验证你是人类,至少有一次通过验证码或作为用户登录。

对于后续访问发行人页面,发行人可以使用下面的代码片段来检查 ,看看访问者是否有之前发行的有效令牌,以简化流程:

document.hasTrustToken(

_abc-example.com_内部

现在我们假设你访问一个新的网站_(abc-example.com_)。如果 _abc.com_通过在他们的网站上有以下代码片段来信任同一个发行者。

fetch('https://issuer-example.com/redeem', {

网站_abc-example.com_收到一个名为Redemption Record (RR)的令牌,这表明_发行人-example.com_在一段时间前已经向访问者的浏览器发出了一个令牌。RR可以在随后的资源请求中使用。

使用_abc-example.com_的嵌入式IFrames

假设我们想在_abc-example.com_中嵌入一个来自另一个网站_(xyz-example.com_)的IFrame。如果_xyz-example.com_也需要人工验证并信任发行人_(issuer-example.com_),_abc-example.com_可以通过使用下面的代码片断来发送RR记录xyz-example.com。

fetch('xyz-example.com/get-content', {

通过这段代码,_xyz-example.com_收到RR记录并验证访问者是人类,返回其内容。

然而,出于明显的安全原因,JavaScript从未直接访问过原始令牌。

注意:网站也可以在HTTP响应头中包含发行者数据,以使代币兑换与网站加载同时发生。

总结

很明显,这项功能仍处于探索阶段,对于现实世界的应用来说仍然太年轻。

谷歌报告说,Chrome浏览器将不再接受被动跟踪,以打击网络上的欺诈和垃圾邮件,并计划在2022年前完全淘汰。

因此,现在是广告业、CDN适应这些新功能向前发展的时候了。

谢谢阅读!!!😊让我知道大家对这个新功能有什么看法。

avatar
文章
阅读
粉丝