一种基于HSTS的防域名劫持的方法

Author： Steven Lynn
发布时间：October 4, 2023
1259 views
No comments
1092 words
Categories：默认分类网站运营

事情是这样的：

国庆期间国内网络对很多域名进行了污染，其中影响最大的是Minecraft正版验证api以及VSCode官网。当尝试登录或使用上述应用时，其HTTP请求会被重定向到国家反诈中心以及工信部反诈中心的提示页面

也因为这波莫名其妙的风波，最近某位朋友的手头大量部署在vercel上的服务被运营商劫持，被301跳转到反诈中心页面

对于用户而言，只能切换DNS或者使用代理来防止劫持

昨天和一位大佬交流过这件事后得到了一些点拨，这里做个记录

昨天受大佬 @XYen0n 点拨，聊到关于运营商劫持网站强制301跳转到反诈中心页面
虽然没太听懂具体原理，但是大致意思是通过HSTS强制用户从https访问域名就可以解除被劫持状态
… pic.twitter.com/QceFwFNRvj
— Steven Lynn (@Stv_Lynn) October 4, 2023

步骤

1. 开启HSTS

在cloudflare中，进入域名管理，选择SSL/TLS-Edge Certificates-HTTP Strict Transport Security (HSTS)-Enable HSTS，如下图进行配置

按以上操作开启后会导致所有域名下的服务（包括子域名）强制使用https加密传输，如果该域名下有http的服务则不建议这么做

2. 申请HSTS常驻

以上开启之后需要用户至少正常访问一次网页才能正常开启
作为补充，需要再在hstspreload.org登记后才会将域名记录在主流浏览器的新版本中，更新之后，会直接加入这个网站到名单。

登记成功

Last modification：October 4, 2023

© Allow specification reprint

如果觉得我的文章对你有用，请随意赞赏

Leave a Comment Cancel reply
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Comment *

Private comment

Name *

🎲

Email *

Site

运维学习笔记博客
CloudFlare更新太频繁了，这个规则已经不适用于Type...
24kcsplus
这张卡在一些线上商店支付的时候有3ds吗
汤孟岩
可以分享下相关的脚本么？/root/ChatAT/ku/半自动...
Rhenus.
请问假如银行工作人员不认识这张卡的话，怎么教他激活（
k.l
这个参数量的finetuning 花了大概多少钱

一种基于HSTS的防域名劫持的方法

Steven Lynn • 2023 年 10 月 04 日

<p>事情是这样的：</p><p>国庆期间国内网络对很多域名进行了污染，其中影响最大的是Minecraft正版验证api以及VSCode官网。当尝试登录或使用上述应用时，其HTTP请求会被重定向到国家反诈中心以及工信部反诈中心的提示页面</p><p>也因为这波莫名其妙的风波，最近某位朋友的手头大量部署在vercel上的服务被运营商劫持，被301跳转到反诈中心页面</p><p>对于用户而言，只能切换DNS或者使用代理来防止劫持</p><p>昨天和一位大佬交流过这件事后得到了一些点拨，这里做个记录</p><blockquote class="twitter-tweet"><p lang="zh" dir="ltr">昨天受大佬 <span class="external-link"><a class="no-external-link" href="https://twitter.com/XYen0n?ref_src=twsrc%5Etfw" target="_blank"><i data-feather="external-link"></i>@XYen0n</a></span> 点拨，聊到关于运营商劫持网站强制301跳转到反诈中心页面<br>虽然没太听懂具体原理，但是大致意思是通过HSTS强制用户从https访问域名就可以解除被劫持状态<br>… <span class="external-link"><a class="no-external-link" href="https://t.co/QceFwFNRvj" target="_blank"><i data-feather="external-link"></i>pic.twitter.com/QceFwFNRvj</a></span></p>&mdash; Steven Lynn (@Stv_Lynn) <span class="external-link"><a class="no-external-link" href="https://twitter.com/Stv_Lynn/status/1709484526941188270?ref_src=twsrc%5Etfw" target="_blank"><i data-feather="external-link"></i>October 4, 2023</a></span></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script><h1>步骤</h1><h2>1. 开启HSTS</h2><p>在cloudflare中，进入域名管理，选择SSL/TLS-Edge Certificates-HTTP Strict Transport Security (HSTS)-Enable HSTS，如下图进行配置<br><img src="https://cdn.statically.io/gh/stvlynn/cloudimg@master/blog/2310/image.2c4rp8j09xz4.webp" alt="Edge Certificates" title="Edge Certificates" style=""><br>按以上操作开启后会导致所有域名下的服务（包括子域名）强制使用https加密传输，如果该域名下有http的服务则不建议这么做</p><h2>2. 申请HSTS常驻</h2><p>以上开启之后需要用户至少正常访问一次网页才能正常开启<br>作为补充，需要再在<span class="external-link"><a class="no-external-link" href="https://hstspreload.org" target="_blank"><i data-feather="external-link"></i>hstspreload.org</a></span>登记后才会将域名记录在主流浏览器的新版本中，更新之后，会直接加入这个网站到名单。<br><img src="https://cdn.statically.io/gh/stvlynn/cloudimg@master/blog/2310/image.71ga5mg4r3o0.webp" alt="hstspreload.org" title="hstspreload.org" style=""><br><img src="https://cdn.statically.io/gh/stvlynn/cloudimg@master/blog/2310/image.1gimgrllnvls.webp" alt="登记成功" title="登记成功" style=""></p>