溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
如何檢測網站劫持?
IIS7網站監控
檢測網站是否被劫持、DNS污染檢測、網站打開速度檢測等信息。
如何防范HTTP劫持呢?
根據對抗HTTP劫持的時機來分類,可以主要分為三類
事前加密
事中規避
事后屏蔽
那么接下來,讓我們一個個的來說
事前加密
HTTPS
很大一部分HTTP劫持,主要的原因就是在傳輸數據時都是明文的,使用了HTTPS后,會在HTTP協議之上加上TLS進行保護,使得傳輸的數據進行加密,但是使用HTTPS,一定要注意規范,必須要全站使用HTTPS,否則只要有一個地方沒有使用HTTPS,明文傳輸就很有可能會被HTTP劫持了
但是相應的,全部使用HTTPS,也會帶來一些問題:
性能可能有所降低,因為多了TLS握手所帶來的2次RTT延時(但是基于HTTPS之上的HTTP2可以更有效的提升性能)
由于運營商可能會使用DNS劫持,在DNS劫持之下,HTTPS的服務完全用不了了,所以會導致白屏
加密代理
加密代理的原理就是在用戶側和目標web服務器之間增加一個代理服務器,在用戶和代理之間會經過運營商的節點,這里使用各種加密手段保證安全,在代理服務器與web服務之間使用HTTP請求,只需確認代理與web服務之間不會被HTTP劫持就可以避開HTTP劫持
事中加密
拆分HTTP請求數據包
在HTTP劫持的步驟中,第一步是標記TCP連接,因此只要躲過了標識,那么后續的運營商篡改就不會存在了,有一種方式就是拆分HTTP請求
拆分數據包就是把HTTP請求的數據包拆分成多個,運營商的旁路設備由于沒有完整的TCP/IP協議棧,所以就不會被標志,而目標web服務器是有完整的TCP/IP協議棧,能接收到的數據包拼成完整的HTTP請求,不影響服務
事后屏蔽
通過瀏覽器Api,根據若干規則去匹配DOM中的節點,對匹配到的節點作攔截和隱藏
CSP(內容安全策略),DOM事件監聽等。
CSP是瀏覽器附加的一層安全層,用于對抗跨站腳本與數據注入,運營商植入內容性質與數據注入類似,因此,可以用CSP對抗運營商劫持。通過在HTTP響應頭或meta標簽設置好規則,支持攔截和上報劫持信息的功能。
DOM事件監聽主要是監聽DOMNodeInserted、DOMContentLoaded、DOMAttrModified等事件,可以在前端DOM結構發生變化時觸發回調,這時補充一些檢測邏輯,即可判斷是不是業務的正常UI邏輯,如果不是,即可認為是來自劫持
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
