遙測信標

CSD 遙測分兩個階段運作。首先，檢測腳本透過標準 GET 請求從應用程式來源載入 — 這些腳本會將 CSD 的監控程式碼注入頁面。腳本 URL 格式遵循 https://<collection-domain>/__imp_apg__/js/<tenant-script>.js 的模式，但確切路徑因部署方式而異。初始化後，腳本會定期透過稱為信標的 POST 請求將遙測資料回傳至 F5。這些信標會傳送至 F5 所管理的訊號收集網域（*.zeronaught.com），而非應用程式來源。

屬性	值
腳本載入	CSD 檢測腳本透過應用程式來源的 GET 請求載入 — 可在 DevTools 中篩選 __imp_apg__ 或 zeronaught 以識別
信標目的地	POST 至 F5 訊號收集基礎架構（例如 us.gimp.zeronaught.com、csd.zeronaught.com）
酬載格式	編碼二進位格式 — 非人類可讀的 JSON
頻率	在頁面生命週期內定期發送；特定事件觸發時（表單欄位存取、新腳本載入）會傳送額外信標

信標回報的內容

CSD 信標承載腳本行為中繼資料，而非使用者輸入內容：

• 腳本清單 — 頁面上載入了哪些腳本及其來源網域
• 表單欄位存取事件 — 哪些腳本讀取或與哪些輸入欄位互動（欄位名稱與類型）
• 頁面中繼資料 — 目前 URL、時間戳記、頁面生命週期事件

CSD 的設計目的是回報腳本行為中繼資料 — 欄位名稱、輸入類型與存取模式 — 而非使用者填入的表單資料。F5 CSD 隱私聲明說明 CSD 收集「哪些資產正在存取各種頁面元素或資料結構的相關資訊」，聚焦於腳本行為而非使用者輸入內容。

在 DevTools 中觀察信標

1. 開啟 Chrome DevTools（F12），切換至 Network 索引標籤
2. 瀏覽應用程式或與表單欄位互動以產生流量
3. 在篩選列中輸入 zeronaught 以隔離 CSD 流量 — 您將看到腳本載入（GET）以及傳送至 us.gimp.zeronaught.com 的遙測信標（POST）
4. 查看 Method 欄：GET 項目為 CSD 檢測程式碼的載入；名為 dip 的 POST 項目為將訊號資料回傳至 F5 的遙測信標
5. 點擊 dip 信標以檢查其標頭與酬載；請注意請求本文為編碼二進位格式，並非人類可讀的 JSON

CSD 信標與攻擊外洩的比較

CSD 遙測信標是傳送至 F5 管理基礎架構（*.zeronaught.com 網域）的 POST 請求。相較之下，惡意的表單劫持腳本會將竊取的資料外洩至攻擊者控制的網域 — 通常透過 fetch()、XMLHttpRequest 或圖片信標（new Image().src）。

CSD 信標與攻擊外洩都是跨來源請求，但關鍵差異在於目的地與內容：CSD 將腳本行為中繼資料傳送至已知的 F5 基礎架構，而外洩則是將使用者輸入的資料（密碼、卡號）傳送至攻擊者的伺服器。這項區別是 CSD 偵測攻擊的核心機制 — 請參閱 CSD 功能 — 偵測邊界以了解 CSD 可觀察與無法觀察的內容。