中国移动太贱了， https 都能挟持

你这没强制 https，是不是访问 http 的时候被运营商替换了

qq 秀不错。

你们网站是强制 https 的吗？还是 http 也能返回结果的？另，你 CDN 回源的时候选了强制 https 吗？

HSTS

应该是 CDN 回源的时候被劫持了？ CDN 回源有 HTTPS 吗？

检查 cdn 回源

后排提醒，有些无良 cdn 商也是可能会插广告的

楼上说的都对，后后排提醒，无良浏览器以及无良浏览器扩展，在用户端也是可以为所欲为的。

是否全局 https
CDN 回源是否 https
CDN 哪家的

后排贴墙提醒：楼上们看过 lz 给的截图代码没就认为存在劫持？给的手机截图和劫持有一丁点关系？？？有一个字是弹广告相关的吗？里面的代码是加载 js，域名也是 lz 自己的，第二段代码加载的是本地的一个打包后的 js，开发环境代码没编译就发到 cdn 了，甩锅给移动？

统一回复，我们主站 www 强制的 https 访问，客户访问时也是 https 协议，主要是 CDN 上面的 js 没有强制 https，但是在代码里面引入的时候是走的 https 应该不会有问题才对

CDN 用的阿里云的

@isCyan 有可能是回源的时候被挟持了，不过我们的 js 全部放在阿里云 oss 上面的，CDN 回源直接走的 oss 网址，运营商能挟持阿里云两款产品之间的通讯也太屌了嘛

@ctsed 你可以访问一下那个 js 验证你说的对不对，如果说是没编译就发到 cdn 上了，那所有人都会访问到那个被修改过后的内容，客户和我访问同样的地址，我的是正常的，客户的是被修改过的，这不是劫持那是什么

@stevenkang 可能有缓存，造成这问题原因如楼上列举的有很多可能，你仔细看下手机截图，里面都是正常加载逻辑，最后加载一个本地的 bundle，可有一句广告代码？

https 除非中间人证书，浏览器会弹告警手动忽略才能访问，否则劫持不了，你看你 qq 的图是不是 https 的？

这种访问异常问题就得一步一步确认，自己排查问题都不上心，骂两句移动再跟我怼能解决问题？反正是你们公司问题也不关我事，祝早日倒闭

不负责任瞎猜一下：
开发版本不小心发布了->赶紧改成生产版本->这时候 client 已经加载过开发版，而且网站引用 js 的地方都没有加时间戳刷新->client 用的还是开发版

@ctsed 已 Blocked
@b821025551b 你的这种猜测在别的公司有可能发生，我们这里 cdn 上存放的大多都是第三方 js 或者一两年都不会改一次的 js，我们的前端 js 代码并未使用编译器，仅仅是用的很原始的开发流程，不存在编译的过程。cdn 上的文件都是存放 oss 上的，任何开发人员都没有修改的权限。oss 上只允许新增 js，不允许删除、修改任何 js，而且必须写邮件提交 之后才会存放在 oss 上，之后就一直不会去修改和删除了

@isCyan 刚联系阿里云方排查了一下，CDN 回源正常的，因为用的 oss 出现异常的可能性实际上也小。现在排查之后可以确认是客户访问 CDN 节点时被挟持了，奇怪的是走的 https 协议也被挟持，还给我们转成 http 协议来加载了

可能是用戶的 App 挟持了通讯

@morethansean 是强制 https 访问，http 访问会被重定向到 https 上，cdn 没有强制 https，怀疑客户访问我们其他网站的时候，页面引入了 http 协议的 cdn 文件时被挟持了，客户在访问主站时使用的被挟持的缓存文件