Beacons de Telemetria

A telemetria do CSD opera em duas fases. Primeiro, os scripts de instrumentação são carregados a partir da origem da aplicação via requisições GET padrão — esses scripts injetam o código de monitoramento do CSD na página. O padrão de URL do script segue o formato https://<collection-domain>/__imp_apg__/js/<tenant-script>.js, embora o caminho exato varie conforme a implantação. Uma vez inicializados, os scripts enviam periodicamente dados de telemetria para a F5 por meio de requisições POST conhecidas como beacons. Esses beacons são enviados para domínios de coleta de sinais operados pela F5 (*.zeronaught.com), e não para a origem da aplicação.

Propriedade	Valor
Carregamentos de script	Scripts de instrumentação do CSD carregados via requisições `GET` na origem da aplicação — filtre por `__imp_apg__` ou `zeronaught` no DevTools para identificá-los
Destinos dos beacons	`POST` para a infraestrutura de coleta de sinais da F5 (ex.: `us.gimp.zeronaught.com`, `csd.zeronaught.com`)
Formato do payload	Binário codificado — não é JSON legível por humanos
Frequência	Periódica durante o ciclo de vida da página; beacons adicionais são disparados em eventos específicos (acesso a campos de formulário, carregamento de novo script)

O que os beacons reportam

Os beacons do CSD transportam metadados de comportamento de scripts, não entradas do usuário:

Inventário de scripts — quais scripts foram carregados na página e a partir de quais domínios de origem
Eventos de acesso a campos de formulário — quais scripts leram ou interagiram com quais campos de entrada (nomes e tipos de campo)
Metadados da página — URL atual, timestamps, eventos do ciclo de vida da página

O CSD foi projetado para reportar metadados de comportamento de scripts — nomes de campos, tipos de entrada e padrões de acesso — em vez de dados inseridos pelo usuário em formulários. A Declaração de Privacidade do F5 CSD descreve o CSD como coletando “informações sobre quais ativos estão acessando vários elementos de página ou estruturas de dados”, com foco no comportamento dos scripts em vez do conteúdo inserido pelo usuário.

Observar beacons no DevTools

Abra o Chrome DevTools (F12) e alterne para a aba Network
Navegue pela aplicação ou interaja com campos de formulário para gerar tráfego
Digite zeronaught na barra de filtros para isolar o tráfego do CSD — você verá o carregamento do script (GET) e os beacons de telemetria (POST) para us.gimp.zeronaught.com
Observe a coluna Method: as entradas GET correspondem ao carregamento do código de instrumentação do CSD; as entradas POST com o nome dip são os beacons de telemetria que transportam dados de sinal de volta para a F5
Clique em um beacon dip para inspecionar seus cabeçalhos e payload; observe que o corpo da requisição é binário codificado, não JSON legível por humanos

Aba Network do DevTools filtrada para zeronaught, exibindo o carregamento do script via GET e os beacons de telemetria via POST

Os beacons de telemetria do CSD são requisições POST enviadas para a infraestrutura operada pela F5 (domínios *.zeronaught.com). Um script malicioso de formjacking, por outro lado, exfiltra dados roubados para um domínio controlado pelo atacante — tipicamente via fetch(), XMLHttpRequest ou image beacon (new Image().src).

Tanto os beacons do CSD quanto a exfiltração de ataques são requisições de origem cruzada, mas as principais diferenças estão no destino e no conteúdo: o CSD envia metadados de comportamento de scripts para a infraestrutura conhecida da F5, enquanto a exfiltração envia dados inseridos pelo usuário (senhas, números de cartão) para o servidor de um atacante. Essa distinção é central para a forma como o CSD detecta ataques — consulte Capacidades do CSD — Limites de Detecção para saber o que o CSD pode e não pode observar.