如何防止运营商内容劫持(http劫持)

最新推荐文章于 2024-02-02 16:06:10 发布
最新推荐文章于 2024-02-02 16:06:10 发布
阅读量1.1k 收藏
点赞数
文章标签: 运维 javascript ViewUI
原文链接:http://www.cnblogs.com/baidu404/p/10064700.html
版权

     服务器远程桌面连接

目前来看,根据我的经验,运营商内容劫持是通过白名单策略进行的,主要是针对高流量的访问地址,如微信API,jiathis分享代码,微博网页等进行.

主要表现为js脚本注入,和 html内容 注入.自己的JS代码.

因此,就预防来说,比如,页面引入了,第三方这类JS代码的,要改为HTTPS方式如

<script type="text/javascript" src="http://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>

  

改为

<script type="text/javascript" src="https://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>

  

 

二是自己站的页面也可能被注入广告代码,一般是在 <body>标签后面,或</body>标签前面注入,所以,我们可以在页面最开始,和最后,分别放入以下代码

 

<!--!DOCTYPE html>
<html>
<head>
</head>
<body>
</body>
</html-->

  

以达到迷惑敌人的目的,这段代码,就是引诱作用, 使运营商注入了也不会显示出来,因为注释掉了.

 

三是使用CSP 全称为 Content Security Policy,即内容安全策略。主要以白名单的形式配置可信任的内容来源,在网页中,能够使白名单中的内容正常执行(包含 JS,CSS,Image 等等),而非白名单的内容无法正常执行,从而减少跨站脚本攻击(XSS),当然,也能够减少运营商劫持的内容注入攻击。

四是全站使用HTTPS啦,这是最好的方法,但是也要注意,引入第三方网站的JS时,不能用HTTP方法,要改为HTTPS方式,如果第3方网站 不支持HTTPS连接,那就可以把第三方网站的JS保存下来,放到自己网站上,进行HTTPS连接.

网站劫持检测


1、检测网站是否被劫持
2、域名是否被墙
3、DNS污染检测
4、网站打开速度检测
5、网站是否被黑、被入侵、被改标题、被挂黑链

【深度检测】
1、可以检测多层js劫持、图片劫持、FLASH劫持、地区电信劫持、DNS劫持、域名被墙、DNS污染
2、可以获取严重占用加载时间的JS或者图片、css等html所用文件
3、不支持搜索引擎快照劫持检测
最长等待时间为10分钟。 此项选择考虑方向为:各大电信商链接检测网站速度有快慢。

转载于:https://www.cnblogs.com/baidu404/p/10064700.html

weixin_33989780
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
script、iframe注入型防运营商劫持
JUSTIN的博客
11-25 1082
(一)前言 准确是防运营商劫持就是防script、iframe注入型劫持,属于HTTP劫持中的一种。主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 至于劫持类型,这里我建议,看这篇文章 (二) ...
干货!防运营商劫持
weixin_57543652的博客
03-14 551
运营商是指那些提供宽带服务的ISP,包括三大运营商中国电信、中国移动、中国联通,还有一些小运营商,比如长城宽带、歌华有线宽带。运营商提供最最基础的网络服务,掌握着通往用户物理大门的钥匙,目前运营商劫持很普遍。目前运营商劫持率大约是3% ~ 25%,它们无处不在。为了还用户一个干净安全的浏览环境,我们需要做好预防措施1.全站https,能防一部分2.加入防运营商劫持代码,能防大部分注入型劫持3.记录Log,记录证据,向工信部投诉。
【前端安全】二、网络劫持HTTPS的安全
weixin_39307273的博客
03-06 455
1 网络劫持有哪几种? 网络劫持一般分为两种: DNS劫持: (输入京东被强制跳转到淘宝这就属于dns劫持) DNS强制解析: 通过修改运营商的本地DNS记录,来引导用户流量到缓存服务器 302跳转的方式: 通过监控网络出口的流量,分析判断哪些内容是可以进行劫持处理的,再对劫持的内存发起302跳转的回复,引导用户获取内容 HTTP劫持: (访问谷歌但是一直有贪玩蓝月的广告...
iOS 客户端对于运营商劫持的一点点对抗方式
weixin_34037173的博客
04-13 391
网络劫持一般有两种情况,一种是DNS劫持,另一种是HTTP劫持。 从表现上区分这两种劫持非常简单。 如果是DNS劫持,你输入的网址是google.com,然后出来的页面是百度。 如果是HTTP劫持,你打开了google.com,可是右下角弹出了百度推广的不孕不育广告。 URL域名解析成ip地址的过程被称作 DNS 解析。在这个过程中,由于...
CSP -- 运营商内容劫持(广告)的终结者
weixin_33883178的博客
11-07 1492
缘由我们公司最近手机端H5 经常受到商户和用户的投诉,说有广告并且导致不能正常进行操作,我们商户自己当然不会加广告了,但是商户和用户可不管这些了,就认为是我们的问题探索发现根本目前我们用的很多浏览器,都提供插件功能,在Chrome浏览器体系下有个 广告终结者插件:可以用来屏蔽网页中的广告部分。受到这个插件的影响,我先探索下 广告劫持是怎么做的?我就想到通过获取网页html代码...
用js屏蔽被http劫持的浮动广告实现方法
11-30
然后百度了一大堆资料,什么http劫持、dns劫持运营商劫持之类的,确定真的是中招了。看图: 真是偷梁换柱啊,被插入广告代码了。真是无良奸商,什么都做得出。 然并卵,最重要的解决办法是啥?然后把问题扔给了...
运营商劫持是什么 DNS运营商劫持应对方法介绍【详解】.docx
11-24
运营商劫持是什么 DNS运营商劫持应对方法介绍【详解】.docx
移动端域名劫持解决方案
10-11
介绍针对APP端DNS劫持情况的解决方案,希望对大家有所帮助
javascript的函数劫持浅析
11-22
javascript的函数劫持是什么? 函数劫持,顾名思义,即在一个函数...推而广之,其实“劫持”这一概念我们经常会遇到,比方说某网站被运营商劫持了,在浏览该网站的时候会弹出运营商的广告。 举例分析 现在我们来举个简
8ape1h:一个自用chrome扩展。监视运营商劫持,阻止一些已知的劫持形式,修改新标签页为纯空白页面
05-01
chrome扩展,监视运营商劫持,阻止一些已知的劫持形式。2015.05.13:新增,为每一个请求的cookie增加一项“qh[360]=1”。运营商利用这个cookie作为标记,防止重复劫持,只要cookie中有此项,运营商就不再劫持
php避免网页出现运营商劫持,防止运营商劫持,前端解决办法
weixin_36296325的博客
03-10 216
防止运营商劫持,前端解决办法[toc]常见的劫持方式:按照劫持的方法不同,我将劫持分为下面两类:跳转型劫持:用户输入地址A,但是跳转到地址B注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类:注入js类劫持:在正常页面注入劫持的js代码实现的劫持iframe类劫持:将正常页面嵌入iframe或者页面增加ifr...
防治运营商HTTP劫持的终极技术手段
热门推荐
当今明月的专栏
09-25 1万+
运营商HTTP劫持(非DNS劫持)推送广告的情况相信大家并不陌生,解决的方法大多也是投诉增值业务部门进而投诉工信部。但这种方法费时费力,投诉接听人员并不了解情况导致答非所问的情况有很多,有时候不但受气最终也没能完全解决问题,或者解决问题后过了一段时间复发的情况并不少见。   近年来,运营商HTTP劫持非但没有收敛,反而变本加厉,玩出了新花样:比如通过HTTP劫持进行密码截获的活动;比如下载软
HTTP劫持
John_ToStr的博客
04-12 5566
一、现象 运营商、黑客、浏览器厂商、手机厂商,通过某些方式篡改了用户正常访问的网页,插入广告或者其他一些杂七杂八的东西。 二、运营商劫持种类: 网络劫持最主要的就是运营商层面的劫持运营商劫持主要分两种:DNS劫持HTTP劫持 三、DNS劫持 DNS(Domain Name System)域名解析协议 一般而言,用户上网的DNS服务器都是运营商分配的,所以在这个节点上,运营商可以为所欲为。 例如,访问健康,正常DNS应该返回腾讯的ip,而DNS劫持后,会返回一个运营商的中间...
http劫持什么意思、网站升级HTTPS彻底解决http劫持问题
chenchen199711的博客
12-25 886
在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。 用户端接收到全部报文后,按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据包经过网络路径中ISP的路由器传输接力后,最终到达目的地,也就是客户端。 HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中,监视特定
路由器HTTP劫持由入门到精通
weixin_68076304的博客
03-11 889
HTTP劫持HTTP hijacking)是一种恶意攻击方式,攻击者利用中间人的方式劫持HTTP通信过程,获取用户敏感信息,或者篡改服务器返回的数据,让用户误以为是合法的服务器返回的结果。路由器是一种网络设备,用于将本地网络和互联网连接起来,它也可以被攻击者用来进行HTTP劫持攻击。路由器在网络中的位置往往是比较靠前的,攻击者可以通过路由器对所有流经路由器的HTTP通信进行劫持和篡改。
什么是HTTP劫持,有什么方案能处理
最新发布
dexunyun的博客
02-02 890
HTTP劫持HTTP Hijacking),也称为会话劫持或会话接管,是一种网络攻击技术,它通过在用户与网站之间进行中间攻击,攻击者利用各种手段截获或篡改HTTP通信,以获取用户的敏感信息或执行恶意操作来达到非法目的。下面德迅云安全就带大家了解一种常见的web攻击方式-http劫持,以及相应的预防措施。7、使用安全的网络连接:选择安全的网络连接方式,在网络环境中,尽量避免使用公共的、不受信任的Wi-Fi热点,可以使用安全可靠的专用网络或其他加密通道来加密通信,减少数据泄露的风险,从而保护网络安全。
HTTP网络劫持的原理与过程
weixin_41490593的博客
11-07 2372
网站HTTP劫持怎么办?在上网的过程中,我们经常会遇到DNS或者http劫持的情况。HTTP劫持对于运营商来说,再简单不过了,当然,HTTP劫持并不是运营商才能做的事,一些黑客、浏览器厂商、手机厂商都可以做到,显然这个锅不能让运营商一个人来背,那么HTTP劫持怎么办,如何预防了,HTTP网络劫持的原理与过程又是什么呢? 什么是HTTP劫持? 在用户的客户端与其要访问的服务器经过网络协议协...
ios如何防止域名劫持
06-08
iOS 应用可以通过以下方式防止域名劫持: 1. 使用 HTTPS 协议: HTTPS 协议具有加密传输和验证服务器身份的功能,可以有效地防止中间人攻击和域名劫持。因此,在 iOS 应用中,尽可能地使用 HTTPS 协议访问服务器,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值