2025 年了，还有运营商劫持？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

今天日常调试程序抓包过程中突然看到非我司域名的请求，顿生疑惑。

前面三个请求的域名还是什么 www.cdnaccelerationcache.com 看起来似乎是个 cdn ，后面什么 winners.club 看着就明显不对劲了，再展开看响应还是什么“以德会友智者博弈”。。。一看就不是什么正经东西。

马上搜了前端和移动端的代码都没找到相关域名，于是又到抓包软件重新捋了一下，最后发现居然是 vconsole.min.js 被植入。

前端开发同学在使用 vconsole 的时候使用了 bootcdn 的地址： https://cdn.bootcdn.net/ajax/libs/vConsole/3.12.1/vconsole.min.js 。

今天正好我抓包的时候被我抓到了，不知道是中间运营商干的还是 bootcdn 被污染了。

真是曹蛋，再次提醒，项目里不要直接通过第三方 URL 引用外部 JS 。

下面附抓包截图

PS：抓包时的网络运营商是四川移动，用的还是企业专线。

运营商劫持

vconsole.min.js

bootcdn

25 条回复 • 2025-05-06 10:37:33 +08:00

oyama

8 天前 via iPhone

我猜 bootcdn 污染了，已经上了 https 了，运营商劫持不了了

MarkP

8 天前

BootCDN 投毒风险
https://zhi.oscs1024.com/5344.html

都快两年了吧

ultimate42

8 天前

我现在只用字节的 cdn 了

4UyQY0ETgHMs77X8

8 天前

@ultimate42 #3 字节的服务器服务听恶心的所以对整个火山印象不好，特别两次备案折腾的我筋疲力尽

hessian

8 天前

@oyama 有道理，万一技术进步了呢？ 😂

pony2335

8 天前

@FlorentinoAriza 备案这事，只要换云服务商都需要再备案一次。我都在华为、阿里、腾讯、火山都备过案

yafoo

8 天前 via Android

之前有人发过帖子，是 bootcdn 的问题

iyaozhen

8 天前

bootcdn 都多少年了，还有人用，出过几次问题了

4UyQY0ETgHMs77X8

8 天前

@pony2335 #6 主要是备案时间火山比阿里腾讯长，而且频繁打回，阿里腾讯平台审核客服给你打电话帮你改，而且阿里服务器还会追加时长，火山什么都没有，服务器第一次备案打回就消耗了一个月

worker201

8 天前

@hessian 你的意思是能够突破 https 搞劫持?

hessian

8 天前

@worker201 首先我不能 😂

deplives

8 天前

pony2335

8 天前

@FlorentinoAriza 我是做备案接入，3 天就过了。

4UyQY0ETgHMs77X8

8 天前

@pony2335 #13 我备案接入用了 15 天，期间有清明假期可以理解，但频繁打回很多标注不明显以及不补时长的政策有些....
我承认我是有些笨拙了

barnett

8 天前

同四川移动和飞速为移动申冤这还真不是移动的锅
现在运营商没有劫持 SSL 还不带证书错误的能力
你这是 bootcdn 投毒很早之前就遇到了半夜网站跳色站

NewYear

8 天前

bootcdn 出了一次又一次的问题，是投毒惯犯。
但你非就是要用他，你说我们能说啥呢。

唉！！！

但凡百度一下都能知道啊。

最后不得不说一句，“JS 库”投毒屡见不鲜，做项目为啥不能用自己的地址呢？
想不通，省不了几个流量的啊。

bclerdx

8 天前 via Android

@NewYear 对其投毒就是十恶不赦。

hessian

8 天前

@NewYear 😂首先我不是前端。。。再者我也是没想到这种运营这么多年的“知名”CDN 居然有这种问题。。。这么夸张的。

这 TM 是他们自己下毒吧？

JensenQian

8 天前

@hessian 被某公司收购了
好几个东西都被他们收购
供应链投毒

NewYear

8 天前

@hessian #18

是不是他们自己投毒没人能确认，但估计也差不多就是了，毕竟这玩意又没什么技术含量，主要就是烧流量。
HTTPS 又不可能劫持，虽然大家会说国产根证书啥的，但现在根本不敢搞，谁搞谁消失（吊销掉该机构），然后全世界出名。

以前的前端选手特别爱用第三方的 JS 库，主打的就是一个白嫖的快乐。
但……商业项目这样搞其实根本不靠谱，自家放个 JS 库也不耽误多大事。。。。
咱就说非要白嫖的话选大厂嘛，毕竟人家服务器多，流量烧得起。。。

我自己的话也用第三方，但……除了写油猴脚本(没服务器场景)、临时测代码玩，其他场景完全不可能用第三方。

yinmin

7 天前 via iPhone

@hessian #18 你在测试时发现供应链投毒，是幸运的。这种投毒是在特定 ip 区段小比例投毒的，绝大多数情况下，公司内部测试是不会发现的。

你有想过他们的商业模式吗？中国的流量成本是很高的，他们只是为了情怀？想想就细思极恐。

自己服务器上放这些 js 库，静态文件 http(s)是压缩传输并且会长期缓存在浏览器里的，相比网站页面和图片，几乎可以忽略不计。

yinmin

7 天前

@hessian 是不是抓包发现访问 winners.club ，但是浏览器没有弹出这个网站？有可能目的是：模拟点击，赚广告费的。

wy78200

7 天前

我们公司已经禁用 bootcdn 的资源了

flyz

16 小时 3 分钟前

不光是 BootCDN 是供应链投毒，还有 lnmp 和 OneinStack 也是
所以这些东西，还是手搓安全，现在有 AI 加持了，也不是很复杂了。

https://www.freebuf.com/articles/network/401262.html

hessian

12 小时 59 分钟前

@flyz NND 。。。这种人真的是让人有一种“这么聪明，就是没用在正道上”