如何預防網(wǎng)站http劫持問題？

　　如何檢測網(wǎng)站劫持？
　　IIS7網(wǎng)站監(jiān)控
　　檢測網(wǎng)站是否被劫持、DNS污染檢測、網(wǎng)站打開速度檢測等信息。
　　如何防范HTTP劫持呢？
　　根據(jù)對抗HTTP劫持的時機來分類，可以主要分為三類
　　事前加密
　　事中規(guī)避
　　事后屏蔽
　　那么接下來，讓我們一個個的來說
　　事前加密
　　HTTPS
　　很大一部分HTTP劫持，主要的原因就是在傳輸數(shù)據(jù)時都是明文的，使用了HTTPS后，會在HTTP協(xié)議之上加上TLS進行保護，使得傳輸?shù)臄?shù)據(jù)進行加密，但是使用HTTPS，一定要注意規(guī)范，必須要全站使用HTTPS，否則只要有一個地方?jīng)]有使用HTTPS，明文傳輸就很有可能會被HTTP劫持了
　　但是相應的，全部使用HTTPS，也會帶來一些問題：
　　性能可能有所降低，因為多了TLS握手所帶來的2次RTT延時（但是基于HTTPS之上的HTTP2可以更有效的提升性能）
　　由于運營商可能會使用DNS劫持，在DNS劫持之下，HTTPS的服務完全用不了了，所以會導致白屏
　　加密代理
　　加密代理的原理就是在用戶側(cè)和目標web服務器之間增加一個代理服務器，在用戶和代理之間會經(jīng)過運營商的節(jié)點，這里使用各種加密手段保證安全，在代理服務器與web服務之間使用HTTP請求，只需確認代理與web服務之間不會被HTTP劫持就可以避開HTTP劫持
　　事中加密
　　拆分HTTP請求數(shù)據(jù)包
　　在HTTP劫持的步驟中，第一步是標記TCP連接，因此只要躲過了標識，那么后續(xù)的運營商篡改就不會存在了，有一種方式就是拆分HTTP請求
　　拆分數(shù)據(jù)包就是把HTTP請求的數(shù)據(jù)包拆分成多個，運營商的旁路設備由于沒有完整的TCP/IP協(xié)議棧，所以就不會被標志，而目標web服務器是有完整的TCP/IP協(xié)議棧，能接收到的數(shù)據(jù)包拼成完整的HTTP請求，不影響服務
　　事后屏蔽
　　通過瀏覽器Api，根據(jù)若干規(guī)則去匹配DOM中的節(jié)點，對匹配到的節(jié)點作攔截和隱藏
　　CSP（內(nèi)容安全策略），DOM事件監(jiān)聽等。
　　CSP是瀏覽器附加的一層安全層，用于對抗跨站腳本與數(shù)據(jù)注入，運營商植入內(nèi)容性質(zhì)與數(shù)據(jù)注入類似，因此，可以用CSP對抗運營商劫持。通過在HTTP響應頭或meta標簽設置好規(guī)則，支持攔截和上報劫持信息的功能。
　　DOM事件監(jiān)聽主要是監(jiān)聽DOMNodeInserted、DOMContentLoaded、DOMAttrModified等事件，可以在前端DOM結(jié)構(gòu)發(fā)生變化時觸發(fā)回調(diào)，這時補充一些檢測邏輯，即可判斷是不是業(yè)務的正常UI邏輯，如果不是，即可認為是來自劫持