遥测信标

CSD 遥测分两个阶段运行。首先，检测脚本通过标准 GET 请求从应用程序源加载——这些请求将 CSD 的监控代码注入页面。脚本 URL 格式遵循 https://<collection-domain>/__imp_apg__/js/<tenant-script>.js 的模式，但具体路径因部署方式而异。初始化完成后，脚本会定期通过 POST 请求（称为信标）将遥测数据发回 F5。这些信标发送至 F5 运营的信号采集域（*.zeronaught.com），而非应用程序源。

属性	值
脚本加载	CSD 检测脚本通过应用程序源上的 GET 请求加载——在 DevTools 中过滤 __imp_apg__ 或 zeronaught 以识别它们
信标目标	POST 至 F5 信号采集基础设施（例如 us.gimp.zeronaught.com、csd.zeronaught.com）
载荷格式	编码二进制——非人类可读的 JSON
频率	在页面生命周期内定期发送；特定事件（表单字段访问、新脚本加载）时会触发额外信标

信标报告的内容

CSD 信标携带脚本行为元数据，而非用户输入内容：

• 脚本清单 — 页面上加载了哪些脚本以及来自哪些源域
• 表单字段访问事件 — 哪些脚本读取或与哪些输入字段进行了交互（字段名称和类型）
• 页面元数据 — 当前 URL、时间戳、页面生命周期事件

CSD 的设计目标是报告脚本行为元数据——字段名称、输入类型和访问模式——而非用户填写的表单数据。F5 CSD 隐私声明将 CSD 描述为收集”关于哪些资产正在访问各种页面元素或数据结构的信息”，侧重于脚本行为而非用户输入内容。

在 DevTools 中观察信标

1. 打开 Chrome DevTools（F12），切换到 Network 标签页
2. 浏览应用程序或与表单字段交互以生成流量
3. 在过滤栏中输入 zeronaught 以隔离 CSD 流量——您将看到脚本加载（GET）以及发送至 us.gimp.zeronaught.com 的遥测信标（POST）
4. 查看 Method 列：GET 条目是正在加载的 CSD 检测代码；名为 dip 的 POST 条目是将信号数据发回 F5 的遥测信标
5. 点击某个 dip 信标以检查其标头和载荷；注意请求正文为编码二进制格式，而非人类可读的 JSON

CSD 信标与攻击数据窃取

CSD 遥测信标是发送至 F5 运营基础设施（*.zeronaught.com 域）的 POST 请求。而恶意的表单劫持脚本则会将窃取的数据外泄至攻击者控制的域——通常通过 fetch()、XMLHttpRequest 或图像信标（new Image().src）实现。

CSD 信标和攻击数据窃取都是跨源请求，但关键区别在于目标和内容：CSD 将脚本行为元数据发送至已知的 F5 基础设施，而数据窃取则将用户输入数据（密码、卡号）发送至攻击者的服务器。这一区别是 CSD 检测攻击的核心所在——请参阅 CSD 功能——检测边界，了解 CSD 能够观察到的内容及其局限性。