首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

网站主如何识别网页被篡改过?

  •  
  •   qinxg · 2017-12-10 23:56:29 +08:00 · 1256 次点击
    这是一个创建于 497 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题:

    作为网站主,如何能识别网站没有被代理或者 DNS 插入脚本或者修改内容呢?
    HTTPS 也可以做中间证书的。只要客户端信任那个证书就行了。
    9 回复  |  直到 2017-12-11 09:58:27 +08:00
        1
    liuminghao233   2017-12-11 00:01:48 +08:00 via iPhone   ♥ 1
    防广告就上 443
    中间证书无解
    客户摆明要自杀你拦不住的

    做一个对应平台的 app 可以解决此类问题
        2
    paradoxs   2017-12-11 00:09:43 +08:00 via iPhone
    只做 app 即可。网站的话是无解的
        3
    qinxg   2017-12-11 00:10:39 +08:00
    能不能 content-length 做对比?
        4
    Lentin   2017-12-11 00:59:37 +08:00 via iPhone
    pgp
        5
    yingfengi   2017-12-11 08:44:03 +08:00 via Android   ♥ 1
    中间证书无解,行为管理设备 https 内容识别就是设备签发一个证书,然后用户必须安装根证书。
        6
    gamexg   2017-12-11 09:00:41 +08:00   ♥ 1
    HTTP Public Key Pinning
    strict-transport-security
    x-frame-options
    content-security-policy

    上上面几个头就差不多了。限制 https 证书,只允许引用特定域名的 js 等等。
        7
    jjplay   2017-12-11 09:15:31 +08:00
        8
    qinxg   2017-12-11 09:50:21 +08:00
    @gamexg 感觉这个也没什么用啊。
    一旦中间有一层且客户信任了证书。
    依然可以干掉。

    这些头上面的,我在返回头里给你移除掉就行了。


    其实我也是觉得无解的,这东西就跟 fiddler 一样了。
    只要想改,客户端不装插件还真是无法识别到。
        9
    gamexg   2017-12-11 09:58:27 +08:00
    @qinxg #8 那就只能选择内置到浏览器了,印象现在普通网站还无法将自己的 ssl 证书指纹内置到浏览器,等支持时直接内置?
    但是这样一些企业内部存在自签发证书的行为管理设备会照成无法访问。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3195 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 04:24 · PVG 12:24 · LAX 21:24 · JFK 00:24
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1