网站如何防止被运营商劫持？

加个书签不到一分钟

pc 上安装京东卫士，让旁路设备不起作用

加个书签 +1

@mdzz
@cxbig
所以刘强东要挨家挨户叫用户加书签？

或者装个 HTTPS Everywhere 插件

方法是有，那要看京东做不做，有没有必要做！

用户：
1.浏览器安装插件 https everywhere，搞定！
2.更换 DNS，搞定！

@cxbig 所以刘强东要挨家挨户叫用户装个 HTTPS Everywhere 插件？ 普通网民懂装吗？

@gdtv 这本来就不是 JD 的锅，谁让你用不靠谱的网络供应商呢。

@gdtv 这个锅京东不背

@cxbig
@blankme 明显京东自己的锅为什么不背???

jd.com 首先没有 HSTS header, 再者是 302 地跳了 www , 跳转还是跳的非 https 的。难道要让用户装 HTTPS everywhere???

用 HSTS

@morethansean 东西被偷了你不责怪小偷，而是先责怪被偷的人不小心？

@blankme 233 理解错了。我的意思是按照楼主提的问题以及京东开启全站 https 的最重要的理由来说，而没有站在
OT 立场不回答问题改吐槽运营商（虽然这个问题确实是运营商带来的）。

貌似运营商负责管理的临时工，特别喜欢干这种事。

把三大运营商总公司及各省分公司的头头全抓了，依法宣判，就可以彻底解决了。

劫持推 jd 有什么影响吗？
无非多支付点佣金而已！
如果劫持后跳转到 tmall 才是狗东需要重视的问题

http 使用 301
然后在 http 的回复中添加
X-Frame-Options
Content-Security-Policy
这样可以阻止运营商向 http 页面插入的代码被执行。某种程度上就可以阻止运营商非法跳转页面了。
当然这样做，对于完全替换应答的行为无效，还是得靠 HSTS+HTTPS 才行。

@wevsty 我这里的移动宽带就是完全替换页面。首次访问 http://www.jd.com 返回的内容有且只有跳转代码，没有京东原来的内容。

京东要是用 hsts 不就完蛋了。。。天知道中国还有多少用户浏览器不支持