如何防止運營商內容劫持(http劫持)
目前來看,根據我的經驗,運營商內容劫持是通過白名單策略進行的,主要是針對高流量的訪問地址,如微信API,jiathis分享程式碼,微博網頁等進行.
主要表現為js指令碼注入,和 html內容 注入.自己的JS程式碼.
因此,就預防來說,比如,頁面引入了,第三方這類JS程式碼的,要改為HTTPS方式如
<script type="text/javascript" src="http://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>
改為
<script type="text/javascript" src="https://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>
二是自己站的頁面也可能被注入廣告程式碼,一般是在 <body>標籤後面,或</body>標籤前面注入,所以,我們可以在頁面最開始,和最後,分別放入以下程式碼
<!--!DOCTYPE html> <html> <head> </head> <body> </body> </html-->
以達到迷惑敵人的目的,這段程式碼,就是引誘作用, 使運營商注入了也不會顯示出來,因為註釋掉了.
三是使用CSP 全稱為 Content Security Policy,即內容安全策略。主要以白名單的形式配置可信任的內容來源,在網頁中,能夠使白名單中的內容正常執行(包含 JS,CSS,Image 等等),而非白名單的內容無法正常執行,從而減少跨站指令碼攻擊(XSS),當然,也能夠減少運營商劫持的內容注入攻擊。
四是全站使用HTTPS啦,這是最好的方法,但是也要注意,引入第三方網站的JS時,不能用HTTP方法,要改為HTTPS方式,如果第3方網站 不支援HTTPS連線,那就可以把第三方網站的JS儲存下來,放到自己網站上,進行HTTPS連線.
1、檢測網站是否被劫持
2、域名是否被牆
3、DNS汙染檢測
4、網站開啟速度檢測
5、網站是否被黑、被入侵、被改標題、被掛黑鏈【深度檢測】
1、可以檢測多層js劫持、圖片劫持、FLASH劫持、地區電信劫持、DNS劫持、域名被牆、DNS汙染
2、可以獲取嚴重佔用載入時間的JS或者圖片、css等html所用檔案
3、不支援搜尋引擎快照劫持檢測
最長等待時間為10分鐘。 此項選擇考慮方向為:各大電信商連結檢測網站速度有快慢。