屏蔽运营商流量球分析及解决方法
问题描述:
网站底部出现了一个流量球,还干扰了网页的显示,导致网页底部的按钮无法显示,有时会影响的你代码,影响你的网页显示情况。原因在于运营商在页面中加入了他们的代码,移动流量球会检测到你的浏览情况,有时候还会给你推送广告,移动、联通、电信都会有这个东西。
查找资料:
在使用3/4g的时候,一些运营商会在网页中插入一段js,在网页底部显示一个流量球,显示你当前的剩余流量,点击流量球还可以办理业务,当用户访问一个http站点的时候,运营商可以监听你所有访问请求,并且是明文的!这里面包括了你要访问页面的完整HTML代码,运营商只是简单的“篡改”了一下这个结果,把JS脚本加入页面代码中去,于是你看到的网站就都带有这样一个“流量助手“了!
与之形成鲜明对比的是,如果你访问一个https站点(https,即带有SSL加密的http,是http协议的加密版,在https下的访问数据都会被加密而无法被第三方监听。),由于通信不再是明文形式,因此中国移动就无法“篡改”添加这个工具栏了,同样的情况也包括使用vpn(虚拟专用网络)的情况下,同样是因为通信被加密,无法被运营商“监听”和“篡改”。
我们使用的大多数邮件、微博、论坛都没有使用https协议进行加密,这就意味着用户的邮件、微博、论坛登录用户名与密码,都明文暴露在中国移动的监听之中。不仅如此,当用户使用淘宝、京东、糯米等购物网站的时候,中国移动可以毫不费力的监听到用户到底浏览了哪些商品,关注了哪些优惠和促销活动。在这个大数据的背景下,这些数据可以被中国移动的销售部门利用,有针对性的对用户进行广告推介与产品推销,更有甚者,这些数据可能会被出卖给第三方!
如何尽量保护自己:
1如果你访问的网站支持https协议,就不要使用http协议(比如淘宝等)
2.不要在http下使用需要登录的论坛、微博等
3.使用自己认为可靠的V和P谐N访问一切对你隐私有重要意义的站点
分析与解决:
测试:使用iPhone的4G上网,共享网络给电脑。这时在电脑上用Chrome来访问出现流量球的网站,再使用F12开发者模式,查看加载过程。
1.电脑通过iPhone上网:iPhone关闭Wi-Fi,开启4G,开启个人热点,USB连接电脑。电脑关闭Wi-Fi,断开网线。此时iPhone显示共享了网络,在最上面有一个蓝条。
2.打开Chrome,视图 -> 开发者 -> 开发者工具,进入开发者模式。
3.修改user agent("User-Agent" Value: "Mozilla/5.0 (iPhone; CPU iPhone OS 9_2 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13C75"),这里我使用的是chrome插件
4.Chrome访问出现流量球的网站,等待所有页面加载完毕。
解决:
查看在页面中插入了一段什么代码,如果是通过iframe嵌入,可以通过js禁用,
使用 js 去实现禁止底部iframe载入网页:
1 var iframes = document.getElementsByTagName("iframe");
2 for(var i=0;i<iframes.length;i++){
3 if(iframes[i].id!="name") iframes[i].removeNode(true);
4 }
更改 iframe 的 属性 把 src 属性改为: about:blank
1 function setFrame() {
2 var frames = window.frames;
3
4 for (var i = 0; i < frames.length; i++) {
5 if (frames[i].document.location.href != 'about:blank')
6 frames[i].document.location.href = 'about:blank';
7
8 frames[i].onload = function() {
9 if (this.src != 'about:blank') this.src = 'about:blank';
10 }
11 }
12 }
这不是一个一劳永逸的办法,也可能不是通过iframe插入的广告,这种就需要根据具体的代码分析;
另一个可行的方法就是将网站HTTPS化,HTTPS请求无法简单的伪造。虽然有一些开销,这毕竟是个最有效的办法。
参考网页:
http://quotation.github.io/web/2015/04/15/china-telecom-isp-hijack.html
https://github.com/liuyuning/WebClean
好好学习,天天向上,有错欢迎指正!
