gdtv
V2EX  ›  问与答

网站如何防止被运营商劫持?

  •  
  •   gdtv · Jun 20, 2017 · 2704 views
    This topic created in 3297 days ago, the information mentioned may be changed or developed.
    我这里移动宽带访问 http://jd.com 会被劫持到推广链接。
    用户一般都输入 jd.com 而不是完整地输入 https://www.jd.com, 所以就算京东启用了 https 也不能防止被营商劫持。
    所以,刘强东如果不想被运营商劫持,有什么办法呢?挨家挨户叫用户手工输入 https://www.jd.com
    APP 是个好办法,但还是有很多人用浏览器啊。
    Supplement 1  ·  Jun 20, 2017
    @morethansean
    @wevsty
    @choury
    谢谢回复,就是 HSTS
    19 replies    2017-06-20 22:18:43 +08:00
    mdzz
        1
    mdzz  
       Jun 20, 2017
    加个书签不到一分钟
    jiangzhuo
        2
    jiangzhuo  
       Jun 20, 2017 via iPhone
    pc 上安装京东卫士,让旁路设备不起作用
    cxbig
        3
    cxbig  
       Jun 20, 2017
    加个书签 +1
    gdtv
        4
    gdtv  
    OP
       Jun 20, 2017
    @mdzz
    @cxbig
    所以刘强东要挨家挨户叫用户加书签?
    cxbig
        5
    cxbig  
       Jun 20, 2017
    或者装个 HTTPS Everywhere 插件
    oonnnoo
        6
    oonnnoo  
       Jun 20, 2017 via Android
    方法是有,那要看京东做不做,有没有必要做!

    用户:
    1.浏览器安装插件 https everywhere,搞定!
    2.更换 DNS,搞定!
    gdtv
        7
    gdtv  
    OP
       Jun 20, 2017
    @cxbig 所以刘强东要挨家挨户叫用户装个 HTTPS Everywhere 插件? 普通网民懂装吗?
    cxbig
        8
    cxbig  
       Jun 20, 2017
    @gdtv 这本来就不是 JD 的锅,谁让你用不靠谱的网络供应商呢。
    blankme
        9
    blankme  
       Jun 20, 2017 via Android
    @gdtv 这个锅京东不背
    morethansean
        10
    morethansean  
       Jun 20, 2017   ❤️ 1
    @cxbig
    @blankme 明显京东自己的锅为什么不背???

    jd.com 首先没有 HSTS header, 再者是 302 地跳了 www , 跳转还是跳的非 https 的。难道要让用户装 HTTPS everywhere???
    choury
        11
    choury  
       Jun 20, 2017   ❤️ 1
    用 HSTS
    blankme
        12
    blankme  
       Jun 20, 2017 via Android
    @morethansean 东西被偷了你不责怪小偷,而是先责怪被偷的人不小心?
    morethansean
        13
    morethansean  
       Jun 20, 2017
    @blankme 233 理解错了。我的意思是按照楼主提的问题以及京东开启全站 https 的最重要的理由来说,而没有站在
    OT 立场不回答问题改吐槽运营商(虽然这个问题确实是运营商带来的)。
    lidongwei
        14
    lidongwei  
       Jun 20, 2017
    貌似运营商负责管理的临时工,特别喜欢干这种事。
    580a388da131
        15
    580a388da131  
       Jun 20, 2017
    把三大运营商总公司及各省分公司的头头全抓了,依法宣判,就可以彻底解决了。
    dsg001
        16
    dsg001  
       Jun 20, 2017
    劫持推 jd 有什么影响吗?
    无非多支付点佣金而已!
    如果劫持后跳转到 tmall 才是狗东需要重视的问题
    wevsty
        17
    wevsty  
       Jun 20, 2017   ❤️ 1
    http 使用 301
    然后在 http 的回复中添加
    X-Frame-Options
    Content-Security-Policy
    这样可以阻止运营商向 http 页面插入的代码被执行。某种程度上就可以阻止运营商非法跳转页面了。
    当然这样做,对于完全替换应答的行为无效,还是得靠 HSTS+HTTPS 才行。
    gdtv
        18
    gdtv  
    OP
       Jun 20, 2017
    @wevsty 我这里的移动宽带就是完全替换页面。首次访问 http://www.jd.com 返回的内容有且只有跳转代码,没有京东原来的内容。
    just1
        19
    just1  
       Jun 20, 2017 via Android
    京东要是用 hsts 不就完蛋了。。。天知道中国还有多少用户浏览器不支持
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1322 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 50ms · UTC 23:52 · PVG 07:52 · LAX 16:52 · JFK 19:52
    ♥ Do have faith in what you're doing.