广州车路士 发表于 2016-3-11 14:42

如何锁定京东全站https?

本帖最后由 广州车路士 于 2016-3-11 17:00 编辑

今天发现   一直以来京东只有在付款的时候会开启https后来主页也启用https但是在主页点击跳转后的商品页面还是http   刚刚无聊试了直接在任意商品链接强行加上https发现其实商品页面也是可以启用https的但是京东默认没有启用    因为我深受电信返利劫持祸害啊每次上京东都会被返利劫持   有没有大神知道怎么样设置可以弄成访问京东所有页面都启用https啊
例如主页 https://www.jd.com访问魅族pro5商品页面默认是http://item.jd.com/2122207.html   但是其实手动改成https://item.jd.com/2122207.html也是可以打开的证明京东全站都支持https只不过默认只在主页和付款时开启二级域名并没有默认开启   请问有没有办法弄成默认都开启呢?????   我被电信劫持的是那个yiqifa烦死了   

红色狂想 发表于 2016-3-11 16:52

同道中人呀,我也是被河南联通的流量劫持给恶心死了。。。{:1_445:}

为此还专门给JD客服意见反馈让他们启用https

百度默认也是不启用https,我都是在标签页属性url中追加https前缀。淘宝默认就启用了https,这一点做的就很好。

广州车路士 发表于 2016-3-11 16:57

红色狂想 发表于 2016-3-11 16:52
同道中人呀,我也是被河南联通的流量劫持给恶心死了。。。

为此还专门给JD客服意见反馈让他们启 ...

我这百度是默认https的哦……   另外实测京东除白条页面外全站都支持只不过京东只在主页和付款时启用商品页面没有启用但是是支持的   隔壁论坛说
chrome浏览器,HTTPS Everywhere插件   这个的确可以但是有点小问题   本条页面打不开啊   因为   京东坑爹啊竟然白条页面不支持https啊坑爹啊这多危险啊

红色狂想 发表于 2016-3-11 17:47

广州车路士 发表于 2016-3-11 16:57
我这百度是默认https的哦……   另外实测京东除白条页面外全站都支持只不过京东只在主页和付款时启用   ...

虽然百度默认开启了https,但访问主页时浏览器向服务器发送域名请求时用的还是普通明文协议,还是免不了会被劫持,如下图所示:



但奇怪的是淘宝主页就不存在这个问题

广州车路士 发表于 2016-3-11 17:51

红色狂想 发表于 2016-3-11 17:47
虽然百度默认开启了https,但访问主页时浏览器向服务器发送域名请求时用的还是普通明文协议,还是免不了 ...


红色狂想 发表于 2016-3-11 17:54

广州车路士 发表于 2016-3-11 17:51


你那儿的运营商没有使用绝招

wengjianbo 发表于 2016-3-13 12:03

如果使用Chrome浏览器,可以强制http重定向到https
方法如下:
在地址栏输入chrome://net-internals/
之后,在HSTS选项卡下的Domain中输入 www.jd.com ,然后点击Add按钮。

dosmatters 发表于 2016-3-13 13:10

wengjianbo 发表于 2016-3-13 12:03
如果使用Chrome浏览器,可以强制http重定向到https
方法如下:
在地址栏输入chrome://net-internals/


给力,不过就是要每个二级域名都要添加一遍。

wengjianbo 发表于 2016-3-13 13:58

dosmatters 发表于 2016-3-13 13:10
给力,不过就是要每个二级域名都要添加一遍。

其实可以添加jd.com然后勾选子域的选项。但是京东白条 ,金融等等会出问题。看你自己取舍了

dosmatters 发表于 2016-3-13 21:16

wengjianbo 发表于 2016-3-13 13:58
其实可以添加jd.com然后勾选子域的选项。但是京东白条 ,金融等等会出问题。看你自己取舍了
...
勾哪个?子域名有两个啊,STS PKP? 白条没所谓,不怎么用,想用直接购物车手机就行。

wengjianbo 发表于 2016-3-13 21:34

dosmatters 发表于 2016-3-13 21:16
勾哪个?子域名有两个啊,STS PKP? 白条没所谓,不怎么用,想用直接购物车手机就行。
...

勾选STS
关于STS和PKP的相关信息请参考这里
STS: HTTP Strict Transport Securityhttps://developer.mozilla.org/zh-CN/docs/Security/HTTP_Strict_Transport_Security
PKP: Public-Key-Pinshttp://drops.wooyun.org/tips/1166

dosmatters 发表于 2016-3-13 21:35

wengjianbo 发表于 2016-3-13 21:34
勾选STS
关于STS和PKP的相关信息请参考这里
STS: HTTP Strict Transport Securityhttps://developer.mo ...

好的,非常感谢!

大白兔 发表于 2016-3-16 22:20

劫持的话,楼主不妨投诉下吧,如果没用就工信部
先前上海电信天天劫持,从dns劫持到http劫持,连迅雷下载都能给http重定位
https协议速度太慢了,还是建议楼主走投诉的路线
锁定https了又如何,这年头,不是所有的网站都叫特仑苏{:1_528:}
页: [1]
查看完整版本: 如何锁定京东全站https?