https 的链接，是不是就没有被劫持的风险？

各位好，请教一个事情。

我们公司的 CPS 推广链接出现了劫持行为，推广链接后面的返利参数被替换成了别人的。

链接是 http

如果我们全部使用 https 是不是就可以防止劫持呢？

2017-06-30 10:18:50 +08:00

可以，前提是打开网址的时候就以 https 打开，否则如果是 http 之后响应 301 跳转 https 的，那照样劫持。

JarvisTang

2017-06-30 10:20:04 +08:00

@oh 感谢

明白了，我让公司废除 http 的 301 跳转，想别的办法，不再接受 http 的推广参数。

miyuki

2017-06-30 10:30:22 +08:00

基本上可以，我国运营商目前基本还没有劫持 https 的

你还可以加入 HSTS 列表，让浏览器直接强制选用 https 进行连接

kldsz

2017-06-30 10:53:40 +08:00

你看最近几年几个大的电商网站改成全 https 了，那不就是对付各路流氓么 →_→

tony1016

2017-06-30 11:11:49 +08:00

并不绝对，但是会好很多
1.因为 EV 证书没有起到应有作用，还是可能存在 DNS 污染来钓鱼替换的可能
2.购买了流氓的证书，用户又使用了流氓出的浏览器，那也还是会被耍流氓的风险

taineric

2017-06-30 12:45:40 +08:00

@tony1016 都控制浏览器了，为什么还要控制证书？如果没控制浏览器，在谷歌 CT 的监视下被发现证书就没了。

gen900

2017-06-30 14:51:50 +08:00

uri 参数被篡改了，用 https 有什么区别吗？ uri 本身又不加密

otakustay

2017-06-30 15:15:56 +08:00

HTTPS 能确保不被**中间人**劫持，但是对于端劫持依旧是毫无办法的

lan894734188

2017-06-30 17:18:15 +08:00

滥发证书导致中间人的可能
而且大三元浏览器不检查证书…

googlebot

2017-06-30 17:23:53 +08:00

Url 本身是明文，别人能改，
如果 url 放置的网页是 https，中间人不好改，

Devmingwang

2017-06-30 18:48:36 +08:00

https 一般没办法被篡改（除非有这个 https 证书的密钥或者是 https 证书颁发者的密钥并且配合 dns 劫持设置反向代理），但是可以和 http 一样连接被重置。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.