2021最新http/https网站相关安全问题解决办法大全~
在具体的做法上,一般分为DNS劫持和http劫持。
DNS劫持:
一般而言,用户上网的DNS服务器都是运营商分配的,所以,在这个节点上,运营商可以为所欲为。
例如,访问http://xxx.qq.com/index.html,正常DNS应该返回腾讯的ip,而DNS劫持后,会返回一个运营商的中间服务器ip。访问该服务器会一致性的返回302,让用户浏览器跳转到预处理好的带广告的网页,在该网页中再通过iframe打开用户原来访问的地址。
http劫持:
在运营商的路由器节点上,设置协议检测,一旦发现是HTTP请求,而且是html类型请求,则拦截处理。后续做法往往分为2种,1种是类似DNS劫持返回302让用户浏览器跳转到另外的地址,还有1种是在服务器返回的HTML数据中插入js或dom节点(广告)。
在用户角度,这些劫持的表现分为:
1、网址被无辜跳转,多了推广尾巴;
2、页面出现额外的广告(iframe模式或者直接同页面插入了dom节点)。
http的传输是明文的,也就是说你发的数据是可以被劫持,并且查看的。像我们访问http的网站时,会发现一些运营商的广告,这就是典型的http劫持。此时运营商作为一个中间人,将你的网页封装在<frame>框架中,然后将广告嵌入,再将你的网页嵌入子框架中。
例如以前娱乐网最火的两个网站 小刀和小k 娱乐网,可能只有17-18年的伙伴知道。那时小刀和小k都还没有加上https。以至于他们经常被黑,挂上黑页。入侵的具体原因不清楚,但劫持是可以实现。
https是使用加密数据传输的,当第三方篡改数据时,会发现是秘文无法窜改。而加上https不仅可以seo优化,更可以加强网站安全性。
如何防范:
劫持分为js劫持,dns劫持,http劫持等几大类
1. 如何防范js劫持:
https://www.xxxxx.cn/js/solu.js?xxx 在js 后面加上?xxx,这样对方修改或替换了你js也是不起作用的。
2.如何防范dns劫持:
建议删除HOSTS文件的内容并重置Hosts File。
3.如何防范http劫持:
给网站加上ssl-https,需要全站https
秋蝉博客www.100msh.net发布于:2021-02-26,除非注明,否则均为
原创文章,转载请注明出处。
还没有评论,来说两句吧...