V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qinxg
V2EX  ›  问与答

网站主如何识别网页被篡改过?

  •  
  •   qinxg · 2017-12-10 23:56:29 +08:00 · 1944 次点击
    这是一个创建于 2575 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题:

    作为网站主,如何能识别网站没有被代理或者 DNS 插入脚本或者修改内容呢?
    HTTPS 也可以做中间证书的。只要客户端信任那个证书就行了。
    9 条回复    2017-12-11 09:58:27 +08:00
    liuminghao233
        1
    liuminghao233  
       2017-12-11 00:01:48 +08:00 via iPhone   ❤️ 1
    防广告就上 443
    中间证书无解
    客户摆明要自杀你拦不住的

    做一个对应平台的 app 可以解决此类问题
    paradoxs
        2
    paradoxs  
       2017-12-11 00:09:43 +08:00 via iPhone
    只做 app 即可。网站的话是无解的
    qinxg
        3
    qinxg  
    OP
       2017-12-11 00:10:39 +08:00
    能不能 content-length 做对比?
    Lentin
        4
    Lentin  
       2017-12-11 00:59:37 +08:00 via iPhone
    pgp
    yingfengi
        5
    yingfengi  
       2017-12-11 08:44:03 +08:00 via Android   ❤️ 1
    中间证书无解,行为管理设备 https 内容识别就是设备签发一个证书,然后用户必须安装根证书。
    gamexg
        6
    gamexg  
       2017-12-11 09:00:41 +08:00   ❤️ 1
    HTTP Public Key Pinning
    strict-transport-security
    x-frame-options
    content-security-policy

    上上面几个头就差不多了。限制 https 证书,只允许引用特定域名的 js 等等。
    jjplay
        7
    jjplay  
       2017-12-11 09:15:31 +08:00
    qinxg
        8
    qinxg  
    OP
       2017-12-11 09:50:21 +08:00
    @gamexg 感觉这个也没什么用啊。
    一旦中间有一层且客户信任了证书。
    依然可以干掉。

    这些头上面的,我在返回头里给你移除掉就行了。


    其实我也是觉得无解的,这东西就跟 fiddler 一样了。
    只要想改,客户端不装插件还真是无法识别到。
    gamexg
        9
    gamexg  
       2017-12-11 09:58:27 +08:00
    @qinxg #8 那就只能选择内置到浏览器了,印象现在普通网站还无法将自己的 ssl 证书指纹内置到浏览器,等支持时直接内置?
    但是这样一些企业内部存在自签发证书的行为管理设备会照成无法访问。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   942 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:23 · PVG 06:23 · LAX 14:23 · JFK 17:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.