網站劫持問題排查指南

sowang

來源：百度搜索學院

發布日期：2019-04-04

為了讓站長能夠更好的排查網站存在的劫持風險，在烽火算法上線前完成自查和整改，我們整理了網站劫持指南，希望能對你有所幫助！

本文主要包括以下內容，請各位對號入座：

1. 兩個真實案例教你如何排查劫持
2. 排查劫持三步走秘籍
3. 利用劫持手段將用戶留在站內也是不允許的
4. 小結



“我真的沒有做劫持，為什么會收到劫持的站內信提醒？”

你的網站可能是被第三方廣告劫持了。

案例1：站點A成功找出存在劫持的第三方廣告

站點A收到站內信之后，迅速對網站內容進行了逐一排查，最終確定一家第三方合作的廣告確實存在后退劫持的情況。站點A立即刪除了該第三方廣告的代碼，劫持問題消失。

站點A排查出的第三方合作廣告：

站點A排查到的廣告JS代碼：

• <script type="text/javascript" id="ft_9587"
• src="https://s3.aishangcan.com/js/9587.js"></script>
  

案例2：站點B全面排查找出問題代碼

站點B也遇到了同樣的問題，通過模擬IP訪問網站定位問題、排查JS代碼等方式解除了網站劫持的危機。

站點B的排查方法：

此外，百度的技術小哥哥也給出了最近監控到的一條第三方劫持線索，供大家參考：

“劫持問題這么復雜，到底應該如何排查？”

來看看排查劫持三步走秘籍！

劫持問題會根據時間、地點、網絡類型、運營商等因素的改變而發生變化，難以定位。如果您收到了百度搜索資源平臺發送的劫持提醒站內信，說明我們已經發現您的站點在近期出現過劫持的問題。

您可以參考以下方法進行排查，避免劫持問題對網站用戶的傷害：

第一步：排查第三方廣告、統計插件、網站優化等非本站代碼（劫持重災區）；
第二部：排查網站自身是否存在可疑的JS代碼；
第三步：使用模擬IP訪問網站，定位劫持問題。

“我只是把用戶留在網站里，沒有劫持啊！”

并不是跳轉到別的網站才是劫持。對于用戶來說，任何預期以外的跳轉都是不合理的，是劫持行為。

下面是兩個負面案例。

案例3：

站點C為了增加用戶在網站內的停留時間，在用戶點擊“后退”按鈕時，直接跳轉到網站內的頻道頁，而非用戶瀏覽的上一級頁面。

站點C：用戶說不定對同類型的其他內容也感興趣呢！從內容頁退回到頻道頁，順理成章！

用戶：我是誰？我在哪？我為什么到了這個頁面？

案例4：

站點D：既然不允許自動跳轉，那我在用戶點擊后退時，讓用戶依然留在當前網頁，既沒有跳轉，也保證了用戶的停留時長，這樣總沒有問題了吧？

用戶：我為什么無法退出了？仿佛被命運扼住了咽喉。

敲黑板總結：

綜上所述，為了避免站點被劫持的風險，請站長：
1、及時查收資源平臺的站內信，查看自己是否存在劫持問題；
2、如果收到了劫持提醒的站內信，請盡快按照三步走秘籍進行排查整改；
3、參考上文中完成整改的案例和排查方法，完成對本站問題的排查整改。