这样的提示框你遇到过吗？全站HTTPS加密可防御流量劫持

近日一位网友在家上网时，iPhone Safari网页里经常弹出“在手机淘宝中打开链接吗？”的提示框，如下图：

(图片来源于网络FreeBuf.com，如涉及侵权请告知，我们将会在第一时间删除)

作为一名iOS码农，他很自然的知道这是网页在调用淘宝app的 URL Scheme tbopen://，点了之后打开淘宝去领券，如果你按提示下单了，推广者就能拿到返利。问题在于，网页为什么会发出这种请求，结合当前网站是http，他觉得可能是被劫持了，之后的排查过程也证实了他的猜想。

(图片来源于网络FreeBuf.com，如涉及侵权请告知，我们将会在第一时间删除)

相信以上这样的经历各位并不陌生，日常生活中我们打开app想要进行购物时，偶尔会出现被莫名跳转至另一个不知名的购物网站，或者在浏览过程中频繁出现弹窗诱导访问的情况。上述看似普通的网页访问跳转背后实际上隐藏着一条巨大的黑灰产业链，即访问流量利益争夺下催生的流量劫持行为。

什么是流量劫持？

当用户输入网址访问一个网站时，却被跳转到另一个网站，或者访问一个网站时，页面被插入一些乱七八糟的广告，就属于流量劫持。

流量劫持总体来说属于中间人攻击的一种，本质上攻击者在通信两端之间对通信内容进行嗅探和篡改，以达到插入数据和获取关键信息的目的。

流量劫持主要分为域名劫持和HTTP劫持两种。域名劫持主要表现为用户被强制引导至其他网站，导致其无法登录想访问网站；而HTTP劫持主要表现是以广告形式频繁弹窗。

HTTP被劫持怎么办？

如果确认遭遇了HTTP劫持，可以向ISP（互联网服务提供商，即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商）客服强烈投诉来达到免于被劫持的目的。因为劫持技术本身设计中包括类似黑名单的功能，如果收到宽带用户的强烈反对，ISP会将该用户放入"黑名单"过滤掉，于是用户在短期内就不会遇到劫持的情况了。

部署全站HTTPS加密是防止流量劫持最基础、最重要的安全防护措施！

HTTPS在HTTP基础上加入SSL/TLS协议，对服务器与终端、服务器与服务器之间的传输数据进行加密，保护数据的机密性并验证数据的完整性。通过HTTPS加密连接传输的数据，流经运营商、路由器、WiFi等任意节点时都是密文，即使被劫持或窃取，没有私钥也无法解密，确保数据在传输过程中全程安全。

SSL/TLS协议提供的身份认证机制，依靠SSL证书验证服务器身份真实性，确保数据传输到正确的通信方，防止虚假服务器钓鱼攻击，欺诈用户或窃取用户数据。全站部署HTTPS加密可以确保用户每一次连接、每一次访问都通过安全加密的方式进行，防止HTTP明文传输和局部HTTPS加密可能导致的安全风险。

在巨大的利益面前，流量劫持早已形成一个规模庞大的黑色产业链。源源不断的收入刺激，让流量劫持成了“野火烧不尽”的网络痼疾，也给企业带来了高达千万级的经济损失。为避免流量劫持，在全民HTTPS时代，各位站长们赶快行动起来吧！