目前来看,根据我的经验,运营商内容劫持是通过白名单策略进行的,主要是针对高流量的访问地址,如微信API,jiathis分享代码,微博网页等进行.
主要表现为js脚本注入,和 html内容 注入.自己的JS代码.
因此,就预防来说,比如,页面引入了,第三方这类JS代码的,要改为HTTPS方式如
<script type="text/javascript" src="http://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>
改为
<script type="text/javascript" src="https://res.wx.qq.com/open/js/jweixin-1.0.0.js"></script>
二是自己站的页面也可能被注入广告代码,一般是在 <body>标签后面,或</body>标签前面注入,所以,我们可以在页面最开始,和最后,分别放入以下代码
<!--!DOCTYPE html>
<html>
<head>
</head>
<body>
</body>
</html-->
以达到迷惑敌人的目的,这段代码,就是引诱作用, 使运营商注入了也不会显示出来,因为注释掉了.
三是使用CSP 全称为 Content Security Policy,即内容安全策略。主要以白名单的形式配置可信任的内容来源,在网页中,能够使白名单中的内容正常执行(包含 JS,CSS,Image 等等),而非白名单的内容无法正常执行,从而减少跨站脚本攻击(XSS),当然,也能够减少运营商劫持的内容注入攻击。
四是全站使用HTTPS啦,这是最好的方法,但是也要注意,引入第三方网站的JS时,不能用HTTP方法,要改为HTTPS方式,如果第3方网站 不支持HTTPS连接,那就可以把第三方网站的JS保存下来,放到自己网站上,进行HTTPS连接.
1、检测网站是否被劫持
2、域名是否被墙
3、DNS污染检测
4、网站打开速度检测
5、网站是否被黑、被入侵、被改标题、被挂黑链【深度检测】
1、可以检测多层js劫持、图片劫持、FLASH劫持、地区电信劫持、DNS劫持、域名被墙、DNS污染
2、可以获取严重占用加载时间的JS或者图片、css等html所用文件
3、不支持搜索引擎快照劫持检测
最长等待时间为10分钟。 此项选择考虑方向为:各大电信商链接检测网站速度有快慢。