网站如何防止运营商广告劫持？

运营商比如电信ipush，长宽等，
目前找到http://news.dbanotes.net/jailbreak.js 可能有帮助。请问有无更好的解决方案？

tabris17

2014-10-31 15:46:16 +08:00

输出的每个页面都加上签名，MD5什么的就行，然后用 js 验证

可以用 document.documentElement.outerHTML 来获取页面代码

tvvocold

2014-10-31 15:47:57 +08:00

@tabris17 每个页面都要加？太麻烦了

tvvocold

2014-10-31 15:53:26 +08:00

在dba上看到有人说stackoverflow在ifame劫持这方面做的比较好，不知道怎么找到相关代码。

usedname

2014-10-31 15:54:17 +08:00

除了https全程加密还有别的办法？

tabris17

2014-10-31 15:59:57 +08:00

@tvvocold 用webserver的插件来实现

ooxxcc

2014-10-31 16:01:09 +08:00

长宽直接劫持部分js请求道自己的广告js，除非https基本无解吧

https能慢多少

tvvocold

2014-10-31 16:07:23 +08:00

@ooxxcc 小带宽，亲测慢很多，且百度爬虫对加密站很不友好

raincious

2014-10-31 16:13:30 +08:00

试试看 Content-MD5 头

http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.15

但是也不安全，因为Header每一个途径的服务器都能修改。所以想要保持传输安全，必须使用HTTPS。

tvvocold

2014-10-31 16:19:34 +08:00

@raincious 但是开启全程https对服务器，SEO，运营商和用户都是一种考验啊，国内网络环境你懂的

raincious

2014-10-31 16:23:37 +08:00

@tvvocold 那就看是不是你被针对性攻击了。

如果没有的话，用私钥算一个MD5，然后Javascript验证。不过你知道，验证的话……私钥也是要传的。

不过应该有非对称的解决方案。

tabris17

2014-10-31 16:26:46 +08:00

@tvvocold 没链接，功能不复杂，自己写咯

ooxxcc

2014-10-31 16:59:05 +08:00

@belin520 长宽是直接把你的.js给302到自己服务器上的插入广告脚本了，这样应该没用吧。。。。

长宽去死一百次

xoxo

2014-10-31 17:32:30 +08:00

治肾亏，不含糖，
防运营商劫持哪家强？
v2ex找 @xoxo 代购ssl证书，完美解决这个问题

spance

2014-10-31 17:48:54 +08:00

全站https是正路。除了中间人攻击，别人无法中途篡改。
并且引入的静态资源也要走https才够安全。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.