无意间发现站点 ua.zhengxianjun.com 的 Network 中出现两条未知的 js 请求。
这两个域名跟 ua.zhengxianjun.com 没有任何关系,查看源码发现网页被注入了一个 script 标签。
刚开始以为网站被黑了,可是黑我的小网站没意思呀。
在服务器上访问 ua.zhengxianjun.com 发现一切正常,感觉可能是被运营商注入了广告。
在 Network 中看到第二条脚本没有加载成功,可能是这个原因网页没有出现异常。试了多次也没出现广告。
查了一下域名 fcy6.cc,但对方开启了隐私保护。
从另外一个域名 sho9wbox.com 的 whois 信息可以看到,它属于 veryci.com,跟电驴(verycd.com)非常接近。
veryci.com 官网大部分是图片,而且用词不清。最主要是启信宝上的公司地址跟官网的地址不一样。(如下图)
当然这些都不是重点。
重点是:推荐 HTTP 站点启用 CSP,尽量保证即使网页被注入脚本,也不会出现危害。
如何使用 CSP,参考 https://blog.zhengxianjun.com/2015/04/web-security-csp/