这是一个创建于 3444 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前在 /t/297580 这个帖子问过,如果网站并没有开启 https , css 和 js 都是 https ,那么问题来了,会不会被劫持插一些恶心的东西?然后 @ZE3kr 这位朋友说可以使用 Content-Security-Policy ,我今天发现我的站,在 Mac 表示没有被插入东西,然后在 Windows 下发现被插入了一条<script async src="http://c.cnzz.com/core.php"></script>(两个平台使用的浏览器都是 Chrome ),我在 Nginx server 段添加了 Content-Security-Policy ,我也不知道对不对,麻烦懂的朋友给看下吧。
打码部分是域名。
打码部分是域名。
 |
2
pubby 2016 年 8 月 13 日
既然能修改你页面数据,那么删掉你的 Content-Security-Policy 头也不是难事
|
|
4
pubby 2016 年 8 月 13 日 via Android
开 https 啊
|
 |
5
virusdefender 2016 年 8 月 13 日
再加一个 report-uri ,可以统计劫持情况。
2 楼说的情况,感觉出现几率不大,除非专门针对你。 |
 |
7
qcloud OP @virusdefender 目前这个写的对吗?我没测试出效果,我想明天看看
|
|
8
pubby 2016 年 8 月 13 日
虽然删你这个 header 几率不大,但是没有 https 始终治标不治本
可能对方插入的 js 就是用你允许的域名,比如 src=http://you.allowed.com/xxx.js 然后再劫持 http://you.allowed.com/xxx.js 或者干脆不用外部资源,直接把所有东西塞入页面代码里面 |
 |
9
wdlth 2016 年 8 月 14 日
有的运营商会直接改 jQuery 等.js 文件,黑得很……
|
 |
10
hackgyj 2019 年 7 月 16 日
|
Select Language