V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gdtv
V2EX  ›  问与答

网站如何防止被运营商劫持?

  •  
  •   gdtv · 2017-06-20 19:28:14 +08:00 · 2090 次点击
    这是一个创建于 2712 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我这里移动宽带访问 http://jd.com 会被劫持到推广链接。
    用户一般都输入 jd.com 而不是完整地输入 https://www.jd.com, 所以就算京东启用了 https 也不能防止被营商劫持。
    所以,刘强东如果不想被运营商劫持,有什么办法呢?挨家挨户叫用户手工输入 https://www.jd.com
    APP 是个好办法,但还是有很多人用浏览器啊。
    第 1 条附言  ·  2017-06-20 22:02:05 +08:00
    @morethansean
    @wevsty
    @choury
    谢谢回复,就是 HSTS
    19 条回复    2017-06-20 22:18:43 +08:00
    mdzz
        1
    mdzz  
       2017-06-20 19:36:24 +08:00
    加个书签不到一分钟
    jiangzhuo
        2
    jiangzhuo  
       2017-06-20 19:41:23 +08:00 via iPhone
    pc 上安装京东卫士,让旁路设备不起作用
    cxbig
        3
    cxbig  
       2017-06-20 19:45:26 +08:00
    加个书签 +1
    gdtv
        4
    gdtv  
    OP
       2017-06-20 19:46:53 +08:00
    @mdzz
    @cxbig
    所以刘强东要挨家挨户叫用户加书签?
    cxbig
        5
    cxbig  
       2017-06-20 19:46:54 +08:00
    或者装个 HTTPS Everywhere 插件
    oonnnoo
        6
    oonnnoo  
       2017-06-20 19:47:55 +08:00 via Android
    方法是有,那要看京东做不做,有没有必要做!

    用户:
    1.浏览器安装插件 https everywhere,搞定!
    2.更换 DNS,搞定!
    gdtv
        7
    gdtv  
    OP
       2017-06-20 19:48:13 +08:00
    @cxbig 所以刘强东要挨家挨户叫用户装个 HTTPS Everywhere 插件? 普通网民懂装吗?
    cxbig
        8
    cxbig  
       2017-06-20 19:49:46 +08:00
    @gdtv 这本来就不是 JD 的锅,谁让你用不靠谱的网络供应商呢。
    blankme
        9
    blankme  
       2017-06-20 19:51:04 +08:00 via Android
    @gdtv 这个锅京东不背
    morethansean
        10
    morethansean  
       2017-06-20 19:57:44 +08:00   ❤️ 1
    @cxbig
    @blankme 明显京东自己的锅为什么不背???

    jd.com 首先没有 HSTS header, 再者是 302 地跳了 www , 跳转还是跳的非 https 的。难道要让用户装 HTTPS everywhere???
    choury
        11
    choury  
       2017-06-20 19:58:03 +08:00   ❤️ 1
    用 HSTS
    blankme
        12
    blankme  
       2017-06-20 20:02:19 +08:00 via Android
    @morethansean 东西被偷了你不责怪小偷,而是先责怪被偷的人不小心?
    morethansean
        13
    morethansean  
       2017-06-20 20:07:20 +08:00
    @blankme 233 理解错了。我的意思是按照楼主提的问题以及京东开启全站 https 的最重要的理由来说,而没有站在
    OT 立场不回答问题改吐槽运营商(虽然这个问题确实是运营商带来的)。
    lidongwei
        14
    lidongwei  
       2017-06-20 20:42:22 +08:00
    貌似运营商负责管理的临时工,特别喜欢干这种事。
    580a388da131
        15
    580a388da131  
       2017-06-20 20:56:48 +08:00
    把三大运营商总公司及各省分公司的头头全抓了,依法宣判,就可以彻底解决了。
    dsg001
        16
    dsg001  
       2017-06-20 21:14:06 +08:00
    劫持推 jd 有什么影响吗?
    无非多支付点佣金而已!
    如果劫持后跳转到 tmall 才是狗东需要重视的问题
    wevsty
        17
    wevsty  
       2017-06-20 21:55:50 +08:00   ❤️ 1
    http 使用 301
    然后在 http 的回复中添加
    X-Frame-Options
    Content-Security-Policy
    这样可以阻止运营商向 http 页面插入的代码被执行。某种程度上就可以阻止运营商非法跳转页面了。
    当然这样做,对于完全替换应答的行为无效,还是得靠 HSTS+HTTPS 才行。
    gdtv
        18
    gdtv  
    OP
       2017-06-20 22:00:34 +08:00
    @wevsty 我这里的移动宽带就是完全替换页面。首次访问 http://www.jd.com 返回的内容有且只有跳转代码,没有京东原来的内容。
    just1
        19
    just1  
       2017-06-20 22:18:43 +08:00 via Android
    京东要是用 hsts 不就完蛋了。。。天知道中国还有多少用户浏览器不支持
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2080 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 00:38 · PVG 08:38 · LAX 16:38 · JFK 19:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.