Balizas de telemetría

La telemetría de CSD opera en dos fases. Primero, los scripts de instrumentación se cargan desde el origen de la aplicación mediante solicitudes GET estándar — estos inyectan el código de supervisión de CSD en la página. El patrón de URL del script sigue el formato https://<collection-domain>/__imp_apg__/js/<tenant-script>.js, aunque la ruta exacta varía según el despliegue. Una vez inicializados, los scripts envían telemetría periódicamente a F5 mediante solicitudes POST conocidas como balizas. Estas balizas se envían a dominios de recopilación de señales operados por F5 (*.zeronaught.com), no al origen de la aplicación.

Propiedad	Valor
Cargas de scripts	Scripts de instrumentación de CSD cargados mediante solicitudes `GET` en el origen de la aplicación — filtre por `__imp_apg__` o `zeronaught` en DevTools para identificarlos
Destinos de las balizas	`POST` a la infraestructura de recopilación de señales de F5 (p. ej., `us.gimp.zeronaught.com`, `csd.zeronaught.com`)
Formato del payload	Binario codificado — no es JSON legible por humanos
Frecuencia	Periódica durante la vida útil de la página; se envían balizas adicionales en eventos específicos (acceso a campos de formulario, carga de nuevos scripts)

Qué informan las balizas

Las balizas de CSD transportan metadatos del comportamiento de scripts, no datos introducidos por el usuario:

Inventario de scripts — qué scripts se cargaron en la página y desde qué dominios de origen
Eventos de acceso a campos de formulario — qué scripts leyeron o interactuaron con qué campos de entrada (nombres y tipos de campo)
Metadatos de la página — URL actual, marcas de tiempo, eventos del ciclo de vida de la página

CSD está diseñado para informar metadatos del comportamiento de scripts — nombres de campos, tipos de entrada y patrones de acceso — en lugar de datos de formulario introducidos por el usuario. La Declaración de privacidad de F5 CSD describe CSD como la recopilación de “información sobre qué activos acceden a diversos elementos de página o estructuras de datos”, centrándose en el comportamiento de los scripts en lugar del contenido introducido por el usuario.

Observar las balizas en DevTools

Abra Chrome DevTools (F12) y cambie a la pestaña Network
Navegue por la aplicación o interactúe con los campos del formulario para generar tráfico
Escriba zeronaught en la barra de filtros para aislar el tráfico de CSD — verá la carga del script (GET) y las balizas de telemetría (POST) hacia us.gimp.zeronaught.com
Observe la columna Method: las entradas GET corresponden a la carga del código de instrumentación de CSD; las entradas POST denominadas dip son las balizas de telemetría que transportan datos de señal de vuelta a F5
Haga clic en una baliza dip para inspeccionar sus encabezados y payload; tenga en cuenta que el cuerpo de la solicitud es binario codificado, no JSON legible por humanos

DevTools Network tab filtered to zeronaught showing GET script load and POST telemetry beacons

Las balizas de telemetría de CSD son solicitudes POST enviadas a infraestructura operada por F5 (dominios *.zeronaught.com). Un script malicioso de formjacking, por el contrario, exfiltra datos robados a un dominio controlado por el atacante — típicamente mediante fetch(), XMLHttpRequest o una baliza de imagen (new Image().src).

Tanto las balizas de CSD como la exfiltración de ataques son solicitudes de origen cruzado, pero las diferencias clave son el destino y el contenido: CSD envía metadatos del comportamiento de scripts a la infraestructura conocida de F5, mientras que la exfiltración envía datos introducidos por el usuario (contraseñas, números de tarjeta) al servidor de un atacante. Esta distinción es fundamental en la forma en que CSD detecta los ataques — consulte Capacidades de CSD — Límites de detección para conocer qué puede y qué no puede observar CSD.