网页被劫持放在广告里怎么办？使用HTTPS便于预防！

　　,网页被劫持植入广告怎么办？,认为，许多合作伙伴都遇到过网页被劫持的情况。一个干净的页面莫名其妙地插入了小广告，比如《野性的神话》《龙之剑》等等，看着就烦。为什么你的网页被劫持了？这是因为你的网页没有加密，有些运营商利用HTTP劫持植入广告，那么如何解决呢？HTTPS是一个很好的解决方案！

　　前言：

HTTPS可以对网页的传输内容进行加密，既可以防止强行插入广告，又可以防盗。然而，效果这么好的技术并没有成为主流。在国内外，许多大型网站仍然没有使用HTTPS进行加密。据统计，Alexa排名前100万的网站中，只有21.7%默认使用HTTPS，而中国的情况更糟糕，注册域名总数中只有0.11%使用HTTPS。为什么会这样？让我们一起来谈谈HTTPS的联系。

　　HTTPS是什么？

我们通常使用HTTP协议浏览网站，这也是互联网上使用最广泛的协议之一。这个协议大致是这样工作的。浏览网站时，首先会发送一个请求。如果您发送一个网站地址，它将通过DNS服务器解析为相应的IP地址。服务器的80端口会监听请求，如果没有问题，会给你返回相应的消息。连接建立后，可以开始数据传输。这是典型的TCP链路。有效连接用户和服务器需要几个步骤，但无一例外，这些步骤中的数据传输都是明文，没有加密。

网页浏览有很多链接。如果是明文传输，安全性和隐私性都很成问题。

没有加密，就意味着别有用心的人有很多机会窃听——，就像你上课给妹妹传纸条一样。传播过程中，猫狗可以拆开观看，有黑点的会在笔记上添加素材。这大致是同一个原因。如何才能防止信息被篡改？加密是一个很好的解决方案。HTTPS是HTTP的加密版本。

如果浏览器地址栏上有锁，这意味着您正在使用HTTPS安全连接。

HTTPS使用SSL/TLS进行加密，这是一种使用公钥/私钥机制的加密系统。使用HTTPS后，基于证书系统的公钥一方面可以保证用户连接到正确的网站，另一方面可以保证网络数据不会被窃听。因此，HTTPS可以防止网络钓鱼(网站有数字签名，但签名错误，无法连接)，传输的数据是加密的，别人无法窃听和馈料，黑客入侵和插入广告是不可能的。与HTTP相比，HTTPS可以保证用户的隐私和安全。

　　为何HTTPS仍不是主流？

虽然HTTPS的好处显而易见，但至今仍有大量网站没有部署HTTPS。即使部署了，也只是部署在对安全性有严格要求的少数地方，比如登录页面。为什么不是每个人都转到HTTPS？背后的主要原因是钱。

　　仍有大量网站未使用HTTPS！

HTTPS会带来一些成本问题。大多数人开网站是为了赚钱。如果他们改善了用户体验却亏损了，还不如不打开。从HTTP转换到HTTPS需要一定的成本。例如，HTTP使用80个端口，而HTTPS使用443个端口。同时，HTTPS比HTTP消耗更多的资源，SSL握手需要更多的数据包，加解密也需要额外的操作。为了保证用户体验，切换到HTTPS后，设备也需要升级，比如购买SSL加速卡等。对于一些流量大的网站，比如视频站，这个成本不能忽略。

对于小网站来说，证书也是一种成本。HTTPS证书需要专业机构颁发，大机构颁发的证书也不是免费的，每年要交几十万块钱才能申请证书。小机构的证书虽然便宜甚至免费，但适用性不如大机构，申请证书总是比较麻烦。对于小网站来说，调用有证书的服务器是个好主意，但是更多的人懒得去弄。小网站本来就比较随意。反正连接是没有加密的，不能使用，所以不需要拿证书。

如果证书不正确，浏览器将认为HTTPS连接不安全。

此外，HTTPS的兼容性也存在一些问题。例如，网站部署HTTPS后，页面想要嵌入其他网站的内容。如果只嵌入普通的HTTP内容，可能会出现一些问题。你可以看到一些HTTPS网站不能像优酷、土豆这样嵌入视频，也是因为这个原因，你在看视频的时候需要点击跳转。

因此，HTTPS主要被一些资金雄厚的大公司和对安全要求严格的网站使用。比如谷歌反正有钱，所有网站都可以部署HTTPS；比如淘宝，一方面有钱。作为一个购物网站，花钱和在安全上犯错相比根本不值一提，所以所有淘宝页面都是用HTTPS部署的。

　　HTTPS是否万无一失？

和HTTPS在一起，万无一失吗？事实也并非如此。HTTPS证书可能存在安全问题，因为一些颁发证书的机构不按常规玩牌。有些组织会乱发证书，甚至制作假证书，可以用来进行中间人攻击。例如，当您使用HTTPS连接到一个网站时，浏览器会告诉您该网站连接是安全的HTTPS，但很抱歉，事实上，这个HTTPS只是一个基于假证书的连接，您在网站上所做的一切都可能被假证书颁发机构窃听。

这种事情是真实存在的。比如Gmail用的是谷歌自己的证书，但MCS曾经伪造过Gmail的假证书。当用户连接到Gmail时，由于谷歌和MCS都受到系统和浏览器的信任，MCS的假证书也可以用于Gmail的HTTPS连接，相当于绕过了谷歌对Gmail的HTTPS加密，Gmail被MSC劫持。处理假证最好的办法就是删除出具假证的机构。主要浏览器，如Chrome、火狐等。会不时宣布撤销部分机构证书的决定，所以大家可以多关注这个消息。

MCS伪造了一份证书来劫持Gmail的HTTPS

除了防止窃听，HTTPS还可以防止其他人修改传输内容，例如防止运营商干扰TCP连接。但是运营商看不到传输的数据，所以还是有办法修复你的，比如扔几个包给你。有些网站会切换到HTTPS，导致整个IP被封禁，所以有些网站切换到HTTPS需要勇气。

　　总结：

然而，HTTPS仍然是一个大趋势。许多行业巨头都在大力推广安全连接，比如HTTPS。比如苹果规定，商店里的所有应用都必须使用HTTPS才能连接网络，下一代HTTP协议HTTP/2也将强制加密连接。因此，所有主要网站改用加密连接(如HTTPS)只是时间问题。

网页被劫持并被迫插入广告的情况并不少见。虽然使用HTTPS可以很好的防止这个问题，但是成本比较高，制作HTTPS证书也比较麻烦，这也是很多网站不使用HTTPS的原因。HTTPS真的可以解决很多问题。希望互联网可以尽快使用加密连接，这样可以更好的保护用户的隐私和安全。