前端安全系列-网络劫持

网络劫持一般指的是网络返回数据被篡改，按照修改数据的不同，我们将其分为两类

DNS劫持

DNS劫持主要是篡改域名解析后的IP，访问A域名的时候，解析成B域名的IP。

DNS域名解析可以参考DNS查询原理

HTTP劫持

HTTP劫持主要是通过分析HTTP返回的数据并篡改（增删改），一般我们经常看到网页上有小广告，可能就是由于HTTP劫持造成的。

网络劫持的攻击者

运营商！运营商！运营商！

我们遇到的网络劫持都是运营商们，如电信，联通，移动和一大堆二级代理运营商干的。所以我们也称其为运营商劫持。

为什么是运营商？

我们连接互联网都必须要经过运营商的代理，它们是互联网用户连接互联网的必经途径。运营商代理用户请求互联网，获取数据。所以它们天然的可以在返回的数据中动手脚。解析域名的时候篡改解析后的IP，将假地址返回给用户，造成DNS劫持。返回数据的时候，分析数据内容并加以篡改，形成HTTP劫持。

运营商为什么要这么做呢？

俗话说，无利不起早，在互联网时代，流量就是钱，运营商在正常的页面添加小广告，让小广告蹭各种网站的流量，获得极大的曝光率。通过和广告投放商的合作，简直不要太赚钱。

侵犯了谁？

运营商恶意篡改数据不仅影响用户体验，而且容易误导用户。同时对网站运营者造成十分恶劣的影响，常常成为背锅侠。（你是否也曾经以为小广告都是网站接的广告单？）

网络劫持的防范

DNS劫持

对于DNS劫持，我们真的没啥办法。不过国家对于运营商的DNS劫持行为也有明令禁止，所以一般现在不会有了。

HTTP劫持

值得注意的是，一般HTTP劫持的最终结果都是插入第三方脚本或者Iframe（这样做的好处是方便其统一修改及维护恶意代码）

如何防范HTTP劫持是我们今天准备说的重点，也是网络劫持的高发类型。

1.投诉运营商，向运营商投诉，告知其如果不解决则向工信部投诉。2.使用API（MutationObserver）动态监听DOM的修改，判断异常DOM（如src属性异常的sciprt标签，iframe）并及时移除3.全站使用HTTPS，包括CDN的回源（回源），使用HTTPS后就算运营商劫持了数据也无法分析加密后的数据，就无法轻易修改数据了。4.CSP，利用内容安全协议，设置域名白名单，过滤非法域名，这样就能阻止恶意脚本及Iframe的加载了。参考

这就是CDN回源原理和CDN多级缓存啊！* 干货！防运营商劫持* CSP——前端安全第一道防线* Content Security Policy (CSP) 介绍