这是一个创建于 3351 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前在 /t/297580 这个帖子问过,如果网站并没有开启 https , css 和 js 都是 https ,那么问题来了,会不会被劫持插一些恶心的东西?然后 @ZE3kr 这位朋友说可以使用 Content-Security-Policy ,我今天发现我的站,在 Mac 表示没有被插入东西,然后在 Windows 下发现被插入了一条<script async src="http://c.cnzz.com/core.php"></script>(两个平台使用的浏览器都是 Chrome ),我在 Nginx server 段添加了 Content-Security-Policy ,我也不知道对不对,麻烦懂的朋友给看下吧。
打码部分是域名。
打码部分是域名。
 | 2 pubby 2016-08-13 21:59:20 +08:00 既然能修改你页面数据,那么删掉你的 Content-Security-Policy 头也不是难事 |
| 4 pubby 2016-08-13 22:30:52 +08:00 via Android 开 https 啊 |
 | 5 virusdefender 2016-08-13 22:33:04 +08:00 再加一个 report-uri ,可以统计劫持情况。 2 楼说的情况,感觉出现几率不大,除非专门针对你。 |
 | 7 qcloud OP @virusdefender 目前这个写的对吗?我没测试出效果,我想明天看看 |
| 8 pubby 2016-08-13 23:06:46 +08:00 虽然删你这个 header 几率不大,但是没有 https 始终治标不治本 可能对方插入的 js 就是用你允许的域名,比如 src=http://you.allowed.com/xxx.js 然后再劫持 http://you.allowed.com/xxx.js 或者干脆不用外部资源,直接把所有东西塞入页面代码里面 |
 | 9 wdlth 2016-08-14 17:46:45 +08:00 有的运营商会直接改 jQuery 等.js 文件,黑得很…… |
 | 10 hackgyj 2019-07-16 22:24:06 +08:00 |
Select Language