百度统计脚本被劫持事件深深的告诉我们几个关于网站优化问题。

全站 https 就好。 但人家有 CNNIC 23333

一直就是这么做的，DNS解析，域名，网站程序，主机和IP，SSL证书，广告服务，网站统计，都是境外的服务。

除了人和语言还是中国人和中文。

已转CloudFlare

@tumutanzi 想了一下我基本上也是这样
不过DNS解析还是用的DNSPOD。

唔，还有网站程序是自己写的，我自己不换国籍的话，那就永远有一个最核心的东西用的国产货……

@xcv58 虽然很多人不这么认为 但是我还是坚持认为CNNIC的恶意制造证书不可能大范围的制造，目前ff和chrome都对他特殊处理了。如果以后还出问题，恐怕直接要被吊销了。
@tumutanzi 肉身翻墙吧。
@cfan8 国内访问慢吧。

@NewYear http://wowGoogle.com/archives/13157 两回事吧？

@NewYear 呵呵，您还真是怀着极大的善意啊。

不知道几年前有没有想过他们也就是墙一两个网站？

@xcv58

关于善意，此话题不想多谈，成本和风险，很简单的道理。活在这个世界上有太多太多的风险，我没兴趣去关注所有的风险，我会获取信息，自己评估。

还有关于墙了多少个网站，在这里有2大派，一大派认为墙是错误的，这样的做法不对，但是另一派认定网站是无辜的，很多网站被封锁，并非他们本来的缘故，有很大一部分是其他人在上面发布刺激墙的G点的信息。

经过我观察，这两大派谁也没说服谁。所以我们没必要又变成战争贴。因为不会有结果。双方从正义论到阴谋论都已经讨论过太多了。

有人的地方就有正义和邪恶，但是正义和邪恶都是相对的。而不是绝对的。

你们那些方法都不行，最好的办法就是把js本地化，把js弄到网站同一个目录下，如果你一直调用站外js，你怎么设置都不是安全的，包括你使用https调用js也会出现安全问题，最好的办法就是把js放到服务器上，现在很多公司的程序猿都不注意这个问题，以为调用那些公共的js 例如360的京东的谷歌的公共js这些都是不安全的，都可以被gfw劫持用来攻击的，最好的办法就是js放到服务器上，例如你用的cnzz流量统计，结果获取到的统计代码里面要调用js，你就应该把这个js放到服务器上，不应该远程调用，不要小看一个小js，一个小的js就可以毁掉你

@xingtian 墙外CDN存放JS等静态文件应该可以的吧

@songjiaxin2008 不管墙内墙外，国外用户访问国内网站是需要经过gfw的，国内用户访问国外网站也是需要经过gfw的，只要是这些网站不管你用的是什么，都是可以被GFW劫持的，而且cdn的提供的js加速也是不安全，一旦黑客入侵拿到拖放这个js的服务器，稍微加点恶意代码进去，照成的后果是很严重的，不要永远依赖那些东西，能放到自己服务器上的还是尽量放在自己服务器上，我历来就是这样，强迫症只要看到公司里面的人调用站外的链接，例如360提供前端js公共库加速服务，有些员工直接复制链接远程调用，时间一长网站调用很多站外js就会严重影响网站加载访问速度，而且还会照成你Seo优化网站怎么优化都优化不上去排名，我历来就很烦这些人，这些人根本就是不负责任，我看了一般都会把那些站外调用链接都换成本地服务器的，即便是调用一个站外链接图片我也不允许，必须本地化，不要忘记一个远程调用图片，虽然不会对公司或者服务器跟网站有啥大影响，但是对访问的用户会带来一些安全问题，甚至信息泄漏！

@xingtian 感谢回复 已知悉 准备慢慢转移静态文件