避免網站被惡意域名劫持

落格博客的服務器拒絕了該網站的內嵌
落格博客的服務器拒絕了該網站的內嵌

今天無意間發現了一批網站,如 http://b6x.net/ 現在你點開這個網站會顯示“www.logcg.com 拒絕連接。”,當我第一次點開的時候我驚呆了……他竟然抄了我整個網站? !

這是一系列三位數域名網站,都是類似的操作。

HTTP://b6x.net/ 顯示的實際上是落格博客的內容
HTTP://b6x.net/ 顯示的實際上是落格博客的內容

等等,我發現了一點不對勁,首先這個網站外邊有我博客本身並沒有的白框……也就是說,這可能是個反代(反向代理)。

如果你還不知道什麼是反代,看這個淺析 正向代理 反向代理 透明代理

於是我就查了一下這個域名,位於阿里雲,聯繫方式受到原本購買域名的服務商的域名保護,解析的ip地址是cdn地址,沒有任何用處。我嘗試用​​域名屏蔽,結果人家照樣顯示的好好的……

在這個過程中,我又發現了一點:如果是反向代理,那網站內的域名鏈接都應該是代理中轉的,而這個網站中,我博客的鏈接是沒有經過任何修改的,是我原本的域名。

查看頁面源代碼發現,其實這個網站只有一行代碼:

也就是說,當你打開這個網站,它就在自己的頁面內加載了落格博客……

當然,這看起來似乎沒什麼危害,但潛在的安全問題有很多,比如他可以做透明點擊劫持等等……何況我並不認識這個域名的站長。要避免這種情況,需要修改 nginx 配置,添加一個 http header 添加標題 X-框架-選項 "SAMEORIGIN";

當然,你還有其他選項,比如 否定 就是拒絕一切被嵌入在別的網頁內的行為;SAMEORIGIN 則是一個便捷選項,萬一你想自己嵌入自己的呢?只要是同一個域名來源,就可以允許,其他人不行;允許的URI 這個選項則是基本的白名單功能,寫了誰,誰就能嵌入而不被拒絕。

這裡我們使用 SAMEORIGIN,把 添加標題 X-框架-選項 "SAMEORIGIN"; 寫入你的服務器配置當中,重啟服務。

比如我這裡經過改動後一共有3條:

這時再去刷新那個 http://b6x.net/ ,就已經是空白一片了。

落格博客的服務器拒絕了該網站的內嵌
落格博客的服務器拒絕了該網站的內嵌

參考文獻

本文由 落格博客 原創撰寫:落格博客 » 避免網站被惡意域名劫持

轉載請保留出處和原文鏈接:https://www.logcg.com/archives/3507.html

通過 落格博客

如非聲明,本人所著文章均為原創手打,轉載請註明本頁面鏈接和我的名字。

13 評論

        1. 還是不行,應該不是括號的事情,我看了一下,你的rss中第694行,^M這樣,就可以綁定成功了。這裡面多了個^M的符號。用瀏覽器看是看不到的,得用文本編輯器,不知道你用什麼編輯,用emacs是可以看到的。 把這個刪掉應該就可以了。

  1. 看了一眼我的,哦豁不怕了
    add_header Strict-Transport-Security “最大年齡=63072000; 包含子域; 預載”;
    add_header X框架選項 “SAMEORIGIN” 總是;
    add_header X-Xss-Protection “1; 模式=塊” 總是;
    add_header X-Content-Type-Options “不聞不問” 總是;

    add_header 內容安全策略 “默認-src https: '不安全的內聯’ '不安全評估’ 數據:;”;
    add_header 推薦人政策 “降級時無推薦人”;

發表評論

您的電子郵件地址不會被公開. 必填字段標 *