Dragon
  • 注册、登陆后即可全站无广告畅快浏览本博客了!
  • 本博客已开启支持百度AI智能内容自动审核机制!
明月登楼明月登楼  2018-05-19 10:07 明月登楼的博客 隐藏边栏 |   12 条评论  3,271 
文章评分 0 次,平均分 0.0
导语: 当然,明月可能是有点儿“杞人忧天”、“风声鹤唳”了,但是活在“百度”淫威下的苦逼草根站长们好像一直过的都是这种日子嘛!目前来看只要你的站点部署启用了 HTTPS 后,被劫持的可能就大大降低了,只是需要大家注意一些配置部署方面的细节(不要犯明月这种低级错误哦!)问题都不大,但是明月还是要提醒大家正所谓“道高一尺、魔高一丈”,平时大家多注意观察和测试是个好习惯,至少可以及时发现问题,至于说运营商劫持目前除了发现就工信部举报以外没有太好的建议,据说你在工信部举报的多了以后,运营商会将你的加入到一个类似“白名单”里,这会永久不劫持,只是据说哦!多举报就会获得此殊荣的,哈哈!

最近不知道为啥?明月总是因为自己的疏忽造成一些看着很怪异的问题,比如最近明月博客上的微博同步插件就突然失效了,无法完成文章发布的同步在插件设置里死活无法获取到 Token,百思不得其解呀!最后竟然发现是因为服务器端 PHP 因为 CentOS 更新升级造成配置重置了,而 WordPress 需要 PHP 函数被禁用了,因此……。

好吧,这些小问题还都算是可以忍受的范畴,那么博客总是被劫持就是“是可忍,孰不可忍”了。在【彻底解决手机浏览器劫持问题』一文里虽然明月宣称已经彻底解决了劫持问题,但是这仅仅是解决了明月自己手机浏览器的劫持问题,还是有用户反映在百度搜索进入本博客后会出现被劫持跳转的问题。随着这次百度移动搜索推出烽火算法 2.0,开始严厉打击恶意劫持,这个问题就需要及时的解决了,否则后果严重呀。

烽火算法 2.0 主要针对以下两类问题

  • 未经用户允许恶意窃取用户手机号码等隐私数据的行为。
  • 恶意劫持百度流量的行为,主要表现在:
  1. 搜索用户通过百度移动搜索到达网站后,搜索用户离开网站页面,通过后退后被劫持到虚假的百度搜索结果页中;
  2. 搜索用户通过百度移动搜索到达网站页面后,搜索用户离开网站页面,无法回退到百度搜索结果中,搜索用户点击回退会一直被困在站点内。

看到了吧,百度对劫持的打击可不管你的站点是被劫持了还是被植入后门木马了,只要有劫持跳转的一律可能被作为打击对象,所以明月当前要做的就是避免博客出现劫持跳转这种情况的发生。

劫持防范措施

在对【彻底解决手机浏览器劫持问题』一文里提到的那段<iFrame>代码进行了分析后,基本可以判断这是运营商劫持造成的,至于是哪个运营商?移动、联通、电信好像没有一个好鸟吧?同时也可以看出目前博客面临的劫持主要就是基于 iFrame 的 CFS(Cross Frame Script)和 Clickjacking(点击劫持)攻击,通俗点儿将就是封杀前端一切的 iFrame 就可以解决了,这时候明月想起来在部署配置 Nginx 的时候专门有 X-Frame-Options 来设置的,我好像设置的是 SAMEORIGIN,就是只允许为同源域名下的 iFrame 页面才可以调用,然后这样的设置就被//mt.rtmark.net 这样的源地址引用给利用了,我去!

使用 X-Frame-Options 有三个可选的值:

  • DENY:浏览器拒绝当前页面加载任何 Frame 页面
  • SAMEORIGIN:frame 页面的地址只能为同源域名下的页面
  • ALLOW-FROM:允许 frame 加载的页面地址

PHP 代码:

header('X-Frame-Options:Deny');

Nginx 配置:

add_header X-Frame-Options SAMEORIGIN

Apache 配置:

Header always append X-Frame-Options SAMEORIGIN

迅速在 Nginx 配置文件里将 X-Frame-Options 修改为 DENY 后,重启 Nginx,再次在手机上不同浏览器测试好像劫持问题消失了都,看来问题确实就是出在这里了,看到这里如果您在手机端浏览器浏览本博客发现有被劫持跳转的请及时给明月留言告之哦,谢谢了!

最后总结

很多人都再说给网站启用了 HTTPS 后就可以解决各种劫持问题了,目前来看并不见得,最终还是要看你的安全防范措施的,现在的劫持技术也是在不断的摸索更新中,一个小小的疏忽都可能造成被劫持成功。最近百度移动端搜索的烽火算法 2.0 上线了,为了防止自己的博客被“打击”,建议大家都多排查一下自己的网站是否存在“被劫持”的现象,特别是通过手机端百度搜索结果链接后的劫持,这个你通过被的搜索引擎是没法触发的,明月的测试排查都是任意一个手机浏览器里进入百度主页搜索本博客品牌词“明月登楼”或者“明月登楼的博客”,点击搜索结果中的本博客链接进入博客多点击几个链接后观察有无劫持跳转的。

当然,明月可能是有点儿“杞人忧天”、“风声鹤唳”了,但是活在“百度”淫威下的苦逼草根站长们好像一直过的都是这种日子嘛!目前来看只要你的站点部署启用了 HTTPS 后,被劫持的可能就大大降低了,只是需要大家注意一些配置部署方面的细节(不要犯明月这种低级错误哦!)问题都不大,但是明月还是要提醒大家正所谓“道高一尺、魔高一丈”,平时大家多注意观察和测试是个好习惯,至少可以及时发现问题,至于说运营商劫持目前除了发现就工信部举报以外没有太好的建议,据说你在工信部举报的多了以后,运营商会将你的加入到一个类似“白名单”里,这会永久不劫持,只是据说哦!多举报就会获得此殊荣的,哈哈!

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

明月登楼给明月登楼打赏
×
予人玫瑰,手有余香
  • 2
  • 5
  • 10
  • 20
  • 50
2
支付

本文来自投稿,不代表明月登楼的博客立场,版权归原作者所有,欢迎分享本文,转载请保留出处!

明月登楼
明月登楼 关注:8    粉丝:0 最后编辑于:2019-07-06
玉满斋(www.ymanz.com)网站创始人,☑玉器爱好者 ☑微博控 ☑手机控 ☑历史控 ☑宅 ☑网络控 ☑Wordpress控

发表评论

表情 链接 私密 格式 签到
  1. 广州网站建设
    广州网站建设 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 48.0.2564.116 Windows 7

    感觉就是要我们去举报 :lol: :lol:

    5楼 2018-05-22 17:15
    0 0 回复
  2. 贵安贸易
    贵安贸易 评论达人 LV.2 来自天朝的朋友 搜狗浏览器 2.X Windows 7

    百度怎么感觉动作频频,不是出这个就是出那个

    4楼 2018-05-21 11:05
    0 0 回复
  3. 西枫里博客
    西枫里博客 评论达人 LV.4 来自天朝的朋友 搜狗浏览器 2.X Windows 7

    前几天百度算法把他自家诸如百科、知道等产品通通降权了
    然后第二天,单独搞了个算法,又把这些全部提权
    我就想知道更新算法的小哥有没有被开除 :lol:

    地板 2018-05-20 23:46
    0 0 回复
  4. 橘子书
    橘子书 评论达人 LV.4 来自天朝的朋友 谷歌浏览器 65.0.3325.146 Windows 10

    百度到底要玩什么?三天两头推出一种玩法。就跟瞎搞似的

    板凳 2018-05-19 23:42
    0 0 回复
    • 明月登楼
      明月登楼 博主 来自天朝的朋友 谷歌浏览器 64.0.3282.137  Redmi 5 Plus Build/N2G47H

      @橘子书呵呵,这个百度其实也是被动的,我感觉主要是因为百度自身技术实力太弱了,总是后知后觉,所以只能这样被动调整来应对各种“作弊”手段!

  5. boke112导航
    boke112导航 评论达人 LV.6 来自天朝的朋友 谷歌浏览器 66.0.3359.181 Windows 7

    我的好像是添加有 add_header X-Frame-Options SAMEORIGIN 代码

    沙发 2018-05-19 10:14
    0 0 回复
扫一扫二维码分享