https 也能被注入劫持吗？

今天在 jellow 看到即友反馈在内嵌网页中打开苹果支持页时出现了唤醒其他应用的情况，有人分析是运营商注入劫持导致的，非常好奇这是怎么做到的。

苹果支持页应该已经全站 https 了，我理解 https 的内容运营商很难篡改吧，只要客户端进行证书校验，理应不会被注入，除非运营商已经逆天到伪造证书了。之前没搞过 webview 开发，是利用了 webview 的什么特性吗？

GDC

2020-03-06 16:25:29 +08:00

每一个微信浏览器打开的页面都会被注入微信的脚本哦，包括 https 的。
毕竟人家主程序有网站控制整个 webview 的能力。

yongliu

2020-03-06 16:28:23 +08:00

@GDC 微信这个我理解，毕竟网页内容都是微信自己渲染的，运营商的注入劫持我不太明白。

GDC

2020-03-06 16:35:06 +08:00

@yongliu 没说是被运营商注入的啊，就不能是 jellow 的浏览器劫持的吗

yongliu

2020-03-06 16:41:48 +08:00

@b821025551b
@heiheidewo
@GDC
可以先排除 jellow 使坏，是 jellow 的人说是运营商注入劫持导致的

b821025551b

2020-03-06 16:46:18 +08:00

@yongliu #7 我说的是客户端信任了其他根证书，经常有一堆人去下各种描述文件，一顿信任下去。

GDC

2020-03-06 16:54:03 +08:00

@yongliu 还有一种玩法是降级攻击，不过苹果的 https 应该玩不了这招

yongliu

2020-03-06 16:57:11 +08:00

@GDC 你的意思是强制 302 到 http ？这招在客户端不接受应该就可以破吧

GDC

2020-03-06 17:07:29 +08:00

@yongliu 啊哈，有了新发现

请求一下 support.apple.com 响应的 header 中包括了一项 X-Cache: HIT from cache.51cdn.com
这个 51cdn 是网宿的域名，也就是说苹果这个页面被缓存在了网速的 cdn 服务器里，
也就说，多了一个投毒的可能性咯，至于网速会不会做这种事，可参考 /t/272022 这个帖子

keyfunc

2020-03-06 17:12:04 +08:00

Apple 的域名并不在 HSTS Preloading 的列表中，所以理论上用户访问 http 时运营商是有机会进行劫持的，因为存在 http 301 明文的阶段。

keyfunc

2020-03-06 17:16:38 +08:00

@GDC 我觉得 CDN 厂商是没胆子做这种事的，一般 CDN 投毒大多发生在 CDN 和源站之间用 HTTP 传输数据。

yongliu

2020-03-06 17:19:21 +08:00

@GDC #14 这倒是一种可能

@keyfunc #15 访问一个全站 https 站点对应的 http 链接才会碰到这种情况吧，如果一开始访问的就是 https 链接，应该可以避免这种劫持。

yongliu

2020-03-06 17:36:27 +08:00

@tengyoubiao #18 还是 jellow 小打小闹，黄即看起来是真黄了，都过去半年多了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/650450

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.