网站如何防止被运营商劫持？

This topic created in 3297 days ago, the information mentioned may be changed or developed.

我这里移动宽带访问 http://jd.com 会被劫持到推广链接。
用户一般都输入 jd.com 而不是完整地输入 https://www.jd.com，所以就算京东启用了 https 也不能防止被营商劫持。
所以，刘强东如果不想被运营商劫持，有什么办法呢？挨家挨户叫用户手工输入 https://www.jd.com ？
APP 是个好办法，但还是有很多人用浏览器啊。

Supplement 1 · Jun 20, 2017

@morethansean
@wevsty
@choury
谢谢回复，就是 HSTS

劫持

输入

浏览器

运营商

19 replies • 2017-06-20 22:18:43 +08:00

mdzz

Jun 20, 2017

加个书签不到一分钟

jiangzhuo

Jun 20, 2017 via iPhone

pc 上安装京东卫士，让旁路设备不起作用

cxbig

Jun 20, 2017

加个书签 +1

gdtv

Jun 20, 2017

@mdzz
@cxbig
所以刘强东要挨家挨户叫用户加书签？

cxbig

Jun 20, 2017

或者装个 HTTPS Everywhere 插件

oonnnoo

Jun 20, 2017 via Android

方法是有，那要看京东做不做，有没有必要做！

用户：
1.浏览器安装插件 https everywhere，搞定！
2.更换 DNS，搞定！

gdtv

Jun 20, 2017

@cxbig 所以刘强东要挨家挨户叫用户装个 HTTPS Everywhere 插件？普通网民懂装吗？

cxbig

Jun 20, 2017

@gdtv 这本来就不是 JD 的锅，谁让你用不靠谱的网络供应商呢。

blankme

Jun 20, 2017 via Android

@gdtv 这个锅京东不背

morethansean

Jun 20, 2017

@cxbig
@blankme 明显京东自己的锅为什么不背???

jd.com 首先没有 HSTS header, 再者是 302 地跳了 www , 跳转还是跳的非 https 的。难道要让用户装 HTTPS everywhere???

choury

Jun 20, 2017

用 HSTS

blankme

Jun 20, 2017 via Android

@morethansean 东西被偷了你不责怪小偷，而是先责怪被偷的人不小心？

morethansean

Jun 20, 2017

@blankme 233 理解错了。我的意思是按照楼主提的问题以及京东开启全站 https 的最重要的理由来说，而没有站在
OT 立场不回答问题改吐槽运营商（虽然这个问题确实是运营商带来的）。

lidongwei

Jun 20, 2017

貌似运营商负责管理的临时工，特别喜欢干这种事。

580a388da131

Jun 20, 2017

把三大运营商总公司及各省分公司的头头全抓了，依法宣判，就可以彻底解决了。

dsg001

Jun 20, 2017

劫持推 jd 有什么影响吗？
无非多支付点佣金而已！
如果劫持后跳转到 tmall 才是狗东需要重视的问题

wevsty

Jun 20, 2017

http 使用 301
然后在 http 的回复中添加
X-Frame-Options
Content-Security-Policy
这样可以阻止运营商向 http 页面插入的代码被执行。某种程度上就可以阻止运营商非法跳转页面了。
当然这样做，对于完全替换应答的行为无效，还是得靠 HSTS+HTTPS 才行。

gdtv

Jun 20, 2017

@wevsty 我这里的移动宽带就是完全替换页面。首次访问 http://www.jd.com 返回的内容有且只有跳转代码，没有京东原来的内容。

just1

Jun 20, 2017 via Android

京东要是用 hsts 不就完蛋了。。。天知道中国还有多少用户浏览器不支持