前幾天上網(wǎng)打開(kāi)163首頁(yè)時(shí)，發(fā)現(xiàn)頁(yè)面底部莫名其妙的出現(xiàn)一個(gè)邊框。這在以前可是未曾有過(guò)的，而且以后也絕不可能會(huì)有這么丑陋的設(shè)計(jì)。

趨于好奇心，立刻在邊框上點(diǎn)了右鍵審查元素。不看不知道，網(wǎng)易首頁(yè)的HTML何時(shí)變得這么劣質(zhì)了？

沒(méi)有doctype聲明，連title元素都沒(méi)有。script還是language=JScript風(fēng)格，這得追溯到多少個(gè)世紀(jì)前了~　最劣質(zhì)的是框架居然還是<frameset>元素。

不用說(shuō)，這顯然不是網(wǎng)易的頁(yè)面。頁(yè)面里的ad字樣，早已深深的出買(mǎi)了它，這就是個(gè)廣告頁(yè)面！

話(huà)說(shuō)生在天朝，對(duì)于各種劫持早已司空見(jiàn)慣。

在網(wǎng)頁(yè)里劫持廣告，油價(jià)2塊錢(qián)一升的時(shí)代就有了，過(guò)了世界末日依舊存在，說(shuō)明其中的利益是巨大的。

不用計(jì)算，用手指估算下就知道了。我朝有好幾億電腦和手機(jī)用戶(hù)，每天有無(wú)數(shù)個(gè)網(wǎng)頁(yè)被打開(kāi)。哪怕在1%的網(wǎng)頁(yè)里插一個(gè)廣告，都有數(shù)百上千萬(wàn)次的展示數(shù)量，其中的商機(jī)不言而喻。

盡管對(duì)此有些無(wú)奈，但只要插入的廣告不影響正常上網(wǎng)，也沒(méi)什么意見(jiàn)。如果水平夠高，完全可以偽裝成頁(yè)面里本來(lái)的廣告，至少形式上一樣，看不出任何的破綻。這樣非但不BS，反倒會(huì)有些佩服。

然而，至今見(jiàn)過(guò)的各種廣告劫持代碼，簡(jiǎn)直一個(gè)比一個(gè)劣質(zhì)。這一次見(jiàn)到的，算是垃圾中的戰(zhàn)斗機(jī)了。隨便找個(gè)網(wǎng)頁(yè)編輯器，自動(dòng)生成的HTML也比這強(qiáng)多了，再隨便找些css稍微修飾下，完全就不會(huì)被一眼看出是山寨套牌網(wǎng)頁(yè)了。尼瑪?shù)倪@本身就是暗地里的干活，卻沒(méi)有任何簡(jiǎn)單的加密混淆，還光明正大的明文寫(xiě)著廣告字樣，這不是赤果果的秀智商下限嗎？

不過(guò)今天既然花時(shí)間吐槽這破玩意，就干脆再深入的討論討論未來(lái)可能還會(huì)出現(xiàn)的變招。

Lv1. 當(dāng)前最常見(jiàn)的：把被劫持的網(wǎng)頁(yè)套在自己的空殼里。

其實(shí)這樣做的目的很明確，讓廣告顯示在瀏覽器的最上方。一般為了達(dá)到這個(gè)效果，會(huì)把廣告顯示在頁(yè)面的右下角，蓋住被劫持頁(yè)面的滾動(dòng)條，看起來(lái)就像是浮動(dòng)在瀏覽器之外一樣！

這招夠狠，乍一看，還真以為是QQ之類(lèi)的軟件彈出的消息框呢。不過(guò)只要把瀏覽器窗口退出最大化，順便再拖一下窗口，廣告也跟著動(dòng)起來(lái)了：）假李鬼就瞬間原形畢露了！

防范措施

這種劫持毫無(wú)技術(shù)含量可言，反劫持也相當(dāng)容易。只要在自己網(wǎng)頁(yè)里驗(yàn)證下window.top，是不是在合法的URL列表里。如果不是，那就不允許被內(nèi)嵌在其他網(wǎng)頁(yè)內(nèi)。更好的辦法就是把top地址提交到后臺(tái)服務(wù)器上，統(tǒng)計(jì)下究竟有哪些網(wǎng)站套了自己的頁(yè)面。

Lv2. 在返回網(wǎng)頁(yè)里插入外鏈<script>

這種做法相比之前的，要隱蔽的多，至少不會(huì)把人家網(wǎng)頁(yè)的源文件給替換了。

當(dāng)然，如果僅僅是在網(wǎng)頁(yè)的最后面插入<script>，那還是能被瞬間揭穿，甚至?xí)?bào)毒，因?yàn)檫@太山寨了！有哪個(gè)正常的網(wǎng)頁(yè)會(huì)在</html>后面跟內(nèi)容呢？只有掛馬的腳本。

不過(guò)，要是放對(duì)地方，還真不能一眼看出。例如把廣告的<script src="">插在<head></head>其中的密密麻麻引用外部js的地方，至少能混上一段時(shí)間了。

防范措施

一般來(lái)說(shuō)，插入的<script>大多都是外鏈形式的，這樣廣告變換會(huì)比較靈活。對(duì)于這種劫持，就要使用類(lèi)似殺毒軟件掃描可疑模塊的原理。

廣告不管怎樣插，最終都會(huì)以靜態(tài)HTML留在網(wǎng)頁(yè)里，這是不容抹去鐵證！

當(dāng)我們的網(wǎng)頁(yè)HTML加載完畢，觸發(fā)DOMContentLoaded時(shí)，我們可以開(kāi)始掃描一遍DOM內(nèi)所有的<script>標(biāo)簽。如果發(fā)現(xiàn)有不在信任列表里的src，那么網(wǎng)頁(yè)很有可能被注入了可疑的腳本！

我們可以提交可疑腳本的url到后臺(tái)服務(wù)器，做進(jìn)一步認(rèn)證。如果確實(shí)有風(fēng)險(xiǎn)，那么必須彈出警告框提醒用戶(hù)。

Lv3. 在返回網(wǎng)頁(yè)里插入內(nèi)置<script>

相比外鏈的腳本，內(nèi)置的就棘手的多。外鏈的url域名的總是那么幾個(gè)，可以簡(jiǎn)單的實(shí)現(xiàn)過(guò)濾。但內(nèi)置腳本就千變?nèi)f化了！隨機(jī)變量名，插入廢代碼，各種玄乎。不過(guò)，魔高一尺，道高一丈~

防范措施

想最簡(jiǎn)單的對(duì)付這種劫持，我們必須預(yù)先默認(rèn)個(gè)規(guī)定，來(lái)識(shí)別真假腳本元素。我們給自己的<script>元素設(shè)置個(gè)固定的標(biāo)簽，例如<script myjs="true">。當(dāng)然具體的標(biāo)簽名和值是經(jīng)常變動(dòng)的，對(duì)于劫持程序來(lái)說(shuō)，顯然不知道會(huì)有這么個(gè)規(guī)矩，仍然傻乎乎的插入<script>...</script>。

于是在之后的"肅反運(yùn)動(dòng)"中，可以直接清洗掉了。

Lv4. 在返回網(wǎng)頁(yè)的<script>里混入廣告代碼

隨著劫持程序不斷升級(jí)，招數(shù)會(huì)變的越來(lái)越狠。說(shuō)不定某天，劫持程序內(nèi)置一個(gè)html語(yǔ)義分析器，智能的把廣告腳本合并混淆到頁(yè)面原先的js里！

若要真是這樣，那么之前說(shuō)的給自己的腳本元素加上特征碼也無(wú)濟(jì)于事了。因?yàn)樘貏?wù)已深深的混入到了我們內(nèi)部，真真假假很難被識(shí)別！

最致命的是，腳本未必都是放在<script></script>，也有可能是<element onxxx="">的內(nèi)聯(lián)形式。這下麻煩大了，我得想想怎么解決。

防范措施

對(duì)于這種情況，還真找不到一個(gè)簡(jiǎn)單的方法來(lái)識(shí)別。唯一能走通的路，就是在發(fā)布HTML時(shí)，記錄下文件的Hash值。可以把值寫(xiě)入網(wǎng)頁(yè)，或者存在數(shù)據(jù)庫(kù)里。

當(dāng)網(wǎng)頁(yè)內(nèi)容加載完成時(shí)，我們通過(guò)ajax再次讀取當(dāng)前頁(yè)面的內(nèi)容（一般來(lái)說(shuō)讀的就是當(dāng)前頁(yè)面的緩存數(shù)據(jù)）。通過(guò)同樣的算法算出頁(yè)面的校驗(yàn)值，和原始值一比對(duì)，就知道頁(yè)面是否被第三方篡改了。

我們還可以把篡改過(guò)的html發(fā)到后臺(tái)，找出字符串差異部分，讓技術(shù)人員分析分析到底做了哪些手腳。

當(dāng)然，這只限于靜態(tài)網(wǎng)頁(yè)。

Lv5. 在返回網(wǎng)頁(yè)的外鏈腳本里混入廣告代碼

這招可算是終極篇 ———— 它完全不修改任何HTML內(nèi)容！

然而，一般的網(wǎng)頁(yè)多多少少要外鏈幾個(gè)js文件吧。于是，那些外鏈的腳本就成了香餑餑的肥肉被盯上了！

當(dāng)然也可以像驗(yàn)證html那樣，事先計(jì)算出所有的js文件的hash值，然后再使用ajax重新讀數(shù)據(jù)認(rèn)證比對(duì)。

不過(guò)可別忘了，外鏈js的路徑可以是任意的，而ajax只能讀取同源站點(diǎn)。而且，外鏈的<script>也無(wú)法讀取其text內(nèi)容。于是當(dāng)我們使用站點(diǎn)外的js文件時(shí)，劫持程序可以肆無(wú)忌憚的從中混入代碼！

防范措施

由于受到沙箱策略的嚴(yán)格控制，我們根本無(wú)法獲得外部js內(nèi)的實(shí)際內(nèi)容，所以：走為上。盡量不使用外部站點(diǎn)的js文件。

對(duì)于自己站點(diǎn)，但不是同個(gè)域名的，可以使用Flash的URLLoader跨域加載，只需部署一個(gè)crossdomain.xml即可。

Lv6. 把返回網(wǎng)頁(yè)的圖片內(nèi)容替換成廣告圖片

這樣的流量劫持已經(jīng)超越人類(lèi)了，趕緊派一個(gè)神做了它吧。。。

防范措施

理論上，完全可以解決。事實(shí)上，也沒(méi)問(wèn)題，只是工作量巨大。

不過(guò)外鏈圖片不管同源還是跨域的，都可以由Flash直接讀取，所以可以和html和js一樣，我們使用文件二進(jìn)制的Hash比對(duì)，同樣可以驗(yàn)證圖片數(shù)據(jù)是否被劫持。

當(dāng)然要事先要計(jì)算出站點(diǎn)下或外鏈圖片的hash值，客戶(hù)端也要分析出當(dāng)前頁(yè)面里用到的圖片，并逐個(gè)驗(yàn)證。

大家有什么巧妙的檢測(cè)方法，歡迎留言～

上面說(shuō)了一大堆，其本質(zhì)無(wú)法就是在客戶(hù)端，把使用到的資源和服務(wù)器原始資源二進(jìn)制校驗(yàn)，將出現(xiàn)問(wèn)題的資源反饋給后臺(tái)記錄，找出安全隱患。

雖然這里假象嵌入的僅僅是廣告腳本，然而這種腳本擁有和頁(yè)面內(nèi)其他腳本一樣的權(quán)限，因此可以輕而易舉的獲得用戶(hù)的cookie。

嵌入的腳本甚至可以通過(guò)WebSocket連接到黑客控制臺(tái)，發(fā)送你的鼠標(biāo)和鍵盤(pán)的一舉一動(dòng)，以及頁(yè)面上顯示的內(nèi)容；對(duì)方還可以遠(yuǎn)程控制，讓js在頁(yè)面里悄悄執(zhí)行各種意想不到的操作。