摘要:一个使用中国移动9年的老用户,因为遭受了“老用户和狗不得办理更优惠资费方案”的消费者歧视,在向上级***投诉、向工信部申诉均未果后,将北京移动告上了法庭。经过三个月的诉讼,终审法院一纸裁定告诉我:这事儿不归法院管。
包含6181滴血泪 预计…(本系列所有攻略禁止转载,禁止传播,全文手打,违者默认接受千字三百元稿费) 我最近联系了曾经的老伙计,几个国服英雄榜能叫上名字的做了这一系列攻略。包括我那个时候国服第一老鼠,国服前百的奥巴马,瑞文和人马等等。在与知友分享技术的同时也希望大…
简单介绍一下HTTP劫持和DNS劫持的概念,也就是运营商通过某些方式篡改了用户正常访问的网页,插入广告或者其他一些杂七杂八的东西。
首先对运营商的劫持行为做一些分析,他们的目的无非就是赚钱,而赚钱的方式有两种:
1、对正常网站加入额外的广告,这包括网页内浮层或弹出广告窗口;
一般而言,用户上网的DNS服务器都是运营商分配的,所以,在这个节点上,运营商可以为所欲为。
2、针对被iframe加载的情况,需要先找到运营商设置的劫持规律。
3、针对注入dom节点的情况,初始化时做检查,而且后续dom注入也做检查。可以检查dom中是否含有白名单以外的http链接,如果有,就可以判定为http劫持。
这种做法的原因是,运营商劫持http请求后,并不是完全丢弃请求包,而是做了复制,一份继续发给目标服务器,另外一份做劫持处理直接返回302。因为这个302会比目标服务器的正常返回早得多,所以用户浏览器会只认第一个302,而丢弃后到的正常返回。
运营商一般判断是否劫持,通过判断是否HTTP请求。 一般只会检测TCP连接建立后的第一个数据包,如果其是一个完整的HTTP协议才会被标记;如果并非是一个完整的HTTP协议,由于无法得到足够多的劫持信息,所以并不会被标记为HTTP协议。
5、当然,最终,根本解决办法是使用HTTPS,不过这个涉及到很多业务的修改,成本较高。如果劫持比例小,也许通过适当的补救做法会更好。
来看看检测到的劫持情况:
总体1500万pv的业务,一天竟然有100万的劫持上报,即使排除一半的误报,也代表说20个用户中,就接近有1个用户出现被劫持的情况。
可见,各种小运营商(尤其是移动)的心是有多黑!胆子是有多大!
各种劫持的手段都有:
1、直接返回一个带广告的HTML;
2、在原html中插入js,再通过js脚本安插广告;
3、iframe展示原来正常网页。
各种丑恶的嘴脸都被记录在案: