V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3629 days ago, the information mentioned may be changed or developed.
平时都是全局代理浏览网页,今天帮别人测一下他网站能否访问就切回 pac 模式了。然后登自己博客看了一下,小锁没绿有叹号, noscript 显示拦截了一个链接。赶紧查了网页代码:
`<script type="text/javascript" src="http://admartzone.com/locate_1/jiwei_PCpt.js"></script>`
果不其然页面被篡改了(
换回代理访问就没问题。全站 https 都能篡改代码,我得想想哪儿出问题了……
`<script type="text/javascript" src="http://admartzone.com/locate_1/jiwei_PCpt.js"></script>`
果不其然页面被篡改了(
换回代理访问就没问题。全站 https 都能篡改代码,我得想想哪儿出问题了……
 |
1
ershiwo OP 干的漂亮,放在七牛上的静态资源被改了,本来是 https 请求被换成了 http 请求,移动是怎么做到的(
|
 |
2
cnnblike May 21, 2016
降级了吧?开 HSTS 试试?
|
 |
4
alonga May 21, 2016
@ershiwo 地址栏输入网址的时候是 HTTPS ?
应该类似这个劫持 https://www.v2ex.com/t/272022 这个劫持者的域名也遇到过,已经举报掉他好多 AdSense 等联盟账号,我这里的移动最近没看见他了。 回想了一下,这个 admartzone 劫持的网站都是使用网宿的 CDN ,甚至有政府网站被劫持。 https://www.v2ex.com/t/255534 举报到广告联盟封他账号比较省事。 纯 HTTPS 应该是网宿的问题,七牛也用的网宿。 网宿跟运营商合作较多,所以设备、架构复杂,网宿也跟运营商干些不干净的事情,就跟华为类似。 借用 @learnshare 的一句话 磨菜刀的人并不想菜刀被用来行凶,但写代码的人肯定知道这段代码会被用来干啥。 @niuer 这个跟劫持对七牛没有利益,反而是损害七牛的声誉,七牛应该保护用户安全,这种劫持已经不是第一次了,该考虑下你们合作方了。 @weisdong |
 |
5
learnshare May 21, 2016
|
|
6
ershiwo OP @alonga 对,都是 https 。
我就很奇怪 https 资源怎么莫名奇妙就被降级成 http 资源了,事后我查了七牛空间上的文件,没问题,清掉缓存改了 htps 回源。一开始以为是 dns 污染,也顺便换了 114 DNS 和微软的,刚开始几分钟问题暂时消失,然后重新出现,而且劫持范围不单单包括我自己的空间,连 staticfile.org 的资源也被替换了。最后到早晨四点左右现象离奇消失,截止目前为止还没再出问题。 大概是硬逼用户不相信他们的网络服务了( |
Select Language