我录制了一个视频,麻烦各位老司机给看看这是啥劫持。

2016-05-11 20:02:39 +08:00
 qcloud
如题,大家看视频吧。
视频上传到了 56 和腾讯视频,结果都给删除了(无脑审核),然后就上传到了 YouTube ,还有一个下载链接( 16.3MB )
<amp-youtube data-videoid="CJrLvv9RRy4" layout="responsive" width="480" height="270"></amp-youtube>下载链接: http://t.cn/RqBpBWG
3582 次点击
所在节点    问与答
31 条回复
FunnyFun
2016-05-11 20:13:03 +08:00
没看懂, 很神奇, 看看楼下的怎么说
abelyao
2016-05-11 20:16:03 +08:00
利用 js 把来路窗口做跳转,以前 v2 上有人发过的,可以搜一下
alexapollo
2016-05-11 20:20:02 +08:00
有意思,目标网页篡改了原网页
abelyao
2016-05-11 20:22:05 +08:00
window.opener.location.replace(url);
qcloud
2016-05-11 21:48:06 +08:00
@abelyao 有办法可以防止这样做吗?
popok
2016-05-11 23:25:44 +08:00
qcloud
2016-05-11 23:34:46 +08:00
@popok 我刚才在看源代码发现这个了,没仔细看,果然在这里,牛逼啊老兄,试问能解决这种情况吗?
maskerTUI
2016-05-11 23:35:21 +08:00
用 https 呀
qcloud
2016-05-11 23:40:10 +08:00
@maskerTUI QAQ ,你没看百度用的 https 还是被跳转了吗。。。。。
lroolle
2016-05-11 23:41:31 +08:00
没看懂。。
qcloud
2016-05-11 23:42:06 +08:00
@lroolle 这就非常尴尬了。。。。
popok
2016-05-12 00:07:17 +08:00
@qcloud 这个就是 javascript 让父框架跳转, https 也没用吧,防止的话,应该可以用 Tampermonkey 通过代码劫持这种跳转吧,反正我不会。
popok
2016-05-12 00:49:44 +08:00
Tampermonkey 新建一个脚本
加载位置设置为 document-start ,执行代码 parent.window.opener=null;
匹配规则按你自己需要设置。
maskerTUI
2016-05-12 01:56:56 +08:00
@qcloud (#゚Д゚) 没仔细看
qcloud
2016-05-12 09:07:57 +08:00
@popok QAQ 这不是浏览器插件吗
yeyeye
2016-05-12 09:11:55 +08:00
乌云曾有这方面的帖子 不同的浏览器策略不同 不是全部都可以跳转的 恐怕就只有 popok 的

@popok 应该判断一下 referer 是同一站点的话就不要这样做了 以免有的非恶意的情况下用了它
yeyeye
2016-05-12 09:13:46 +08:00
另外,这其实也算一个安全漏洞,因为如果跳转到的是一个高仿的登录页,一不小心你就会输入账号(判断你用的搜索引擎,然后跳转到对应站点的登录界面的高仿页面)
yeyeye
2016-05-12 09:38:37 +08:00
刚要实验一下 结果视频已经被楼主删了 晕
qcloud
2016-05-12 09:46:39 +08:00
qcloud
2016-05-12 09:47:29 +08:00
@yeyeye 第二条附言那边

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/277991

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX