推荐HTTP站点使用CSP禁止网页被注入的未知JS脚本执行

无意间发现站点 ua.zhengxianjun.com 的 Network 中出现两条未知的 js 请求。

未知的 js 请求

这两个域名跟 ua.zhengxianjun.com 没有任何关系,查看源码发现网页被注入了一个 script 标签。

注入的 script 标签,来自 i.fcy6.cc

刚开始以为网站被黑了,可是黑我的小网站没意思呀。

在服务器上访问 ua.zhengxianjun.com 发现一切正常,感觉可能是被运营商注入了广告。

通过 curl 访问,显示正常

在 Network 中看到第二条脚本没有加载成功,可能是这个原因网页没有出现异常。试了多次也没出现广告。

网页被插入一个 script 标签,第1个创建了第2个

查了一下域名 fcy6.cc,但对方开启了隐私保护。

从另外一个域名 sho9wbox.com 的 whois 信息可以看到,它属于 veryci.com,跟电驴(verycd.com)非常接近。

veryci.com 官网大部分是图片,而且用词不清。最主要是启信宝上的公司地址跟官网的地址不一样。(如下图)

当然这些都不是重点。

重点是:推荐 HTTP 站点启用 CSP,尽量保证即使网页被注入脚本,也不会出现危害。

如何使用 CSP,参考 https://blog.zhengxianjun.com/2015/04/web-security-csp/