存在七牛上的 apk, 如何防 url 劫持，运营商劫持

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3012 天前的主题，其中的信息可能已经有所发展或是发生改变。

之前是按照七牛官方文档 https://support.qiniu.com/hc/kb/article/112864/ 说明把 url 中的 .apk 去掉了，然后指定 content-type 。
后来测试过程中发现华为有些机型不会根据下载下来的 content-type 判断文件类型，导致下载后不能安装。
请问各位 V 友都是怎么解决的？
PS 启用 https 应该防不了 url 劫持吧？

劫持

url

七牛

下载

23 条回复 • 2016-08-22 09:00:39 +08:00

tinyproxy

2016-08-16 09:24:26 +08:00 via iPhone

如果你的下载页面用 https ，七牛这边走 https ，正常没人劫持你

wesley

2016-08-16 09:33:21 +08:00

启用 https 能防 url 劫持

zhjits

2016-08-16 09:38:23 +08:00

HTTPS + HSTS Preload 就没问题

janxin

2016-08-16 09:41:00 +08:00

https 当然可以，实在不行你还可以验一下是不是你自己的

ranran

2016-08-16 09:48:47 +08:00

“ https 应该防不了 url 劫持”，在 V2EX 某些号称大牛的眼里，确实防不了，就算用着 SSL/TLS 也心惊胆战的。拉黑一大堆证书办法机构什么的。

对此我不作评论，只对这一现象做一个简单的叙述。

Shura

2016-08-16 09:50:15 +08:00 via Android

@ranran 那些大牛需要带着用 U 盘肉身去下载，还要担心会不会被在 U 盘里内置了后门。

skydiver

2016-08-16 09:50:37 +08:00 via iPad

好奇葩的解决方法。。去掉 apk 什么鬼。。

yexm0

2016-08-16 09:56:38 +08:00 via Android

第一次听说开 https 放不了的。

FingerLiu

2016-08-16 09:59:11 +08:00

多谢各位赐教

yylzcom

2016-08-16 10:00:01 +08:00

性价比最高的方法应该就是加 https 了吧， https 能应对目前大多数劫持；追求绝对安全的请你们给出切实可行的办法来

FingerLiu

2016-08-16 10:16:06 +08:00

已配 https

bombless

2016-08-16 10:41:15 +08:00 via Android

https 怎么会防不了 url 劫持……你都说了你要改 content type 来影响攻击方的策略，那对方读不了 content type 不就解决了一部分问题。

不过我住的出租房会劫持掉 https ，具体来说就是代理请求并篡改页面，代价就是浏览器会弹出证书不被信任的提示，但是你还能怎么选，要么什么都看不到，要么看被篡改的页面。我最终选择了翻墙（