In Incapsula usiamo alcuni di questi metodi per il rilevamento dei bot (ad esempio JS e Cookie) ma non sono sicuro della metrica di visualizzazione della pagina.
Per prima cosa, vuoi rilevare e bloccare i bot dannosi il più rapidamente possibile e ci sono cose migliori che puoi fare per aspettare, anche se è solo per poco tempo.
Devo anche accettare (+1) con @yfeldblum riguardo alle intestazioni Expire e la loro capacità di interrompere i test basati sul carico delle risorse. Detto questo, CND e server multipli non sono un problema se le sfide sono eseguite dal fornitore CDN stesso.
Volevo anche contribuire con poche altre idee per il rilevamento dei bot:
- Comportamento (ad esempio accesso anticipato a robots.txt)
- Ordine di intestazione HTTP / parametri mancanti
Inoltre, vorrei suggerire di non fare affidamento sull'esclusività su nessuno di questi metodi perché ciò porterà a un'identificazione falsamente positiva. Invece, prova a combinarli in un processo di verifica incrociata passo-passo.
(Ad es. JS challenge -if failed- > Cookie challenge -if failed- > accesso a Robots.txt e così via ....)
Infine, ad un certo punto dovrai iniziare a raccogliere e fare affidamento sulle firme per ridurre al minimo la ridondanza.
Dopo tutto, non puoi continuare a testare Baidu bot ogni volta che visita, questo è solo ad un passo da un DDoS autoinflitto. :)