5

最近、3GモバイルブロードバンドUSBスティックを使い始めました。これは、英国のモバイル通信会社であるT-Mobileからのものです。ローカルで開発しているサイトをライブサーバーにアップロードしてテストしようとするまでは、すべてうまくいったようです。

ライブサイトのコードを見ると、2つの奇妙なことが起こっていることがわかります。

  1. 具体的には、スクリプトがマイドキュメントの先頭に挿入されています。<script src="http://1.2.3.8/bmi-int-js/bmi.js" language="javascript"></script>

    スクリプトの挿入を防ぐためにコードに入れることができるものはありますか?

  2. 通常、私のcssは次のように私のページに含まれています。

    <link href="style.css" rel="stylesheet" type="text/css" />

ただし、ソースを見ると、cssが次のようなスクリプトタグ間のページに直接挿入されています。

<style type="text/css" style="display:none">div.calendar{color:#000;font-family:Verdana,Geneva,Arial,Helvetica,sans-serif;-moz-box-shadow:0px.....

これは、一部のjavascriptファイルでも発生しています。

何が起こっている?

4

4 に答える 4

11

表示されている変更は、実際にはサイトのマークアップには含まれていません。私はあなたのサイトにアクセスしましたが、これを確認できます。何が起こっているのかというと、T-Mobileは、ワイヤレススティックを使用してアクセスしたサイトを「最適化」しようとしており、それを悪用しています。この男は同じ問題を報告しています:

T-Mobile(およびVodafone UK)は、私がアクセスする各ページに独自のJavascriptを挿入することが適切であると考えていることがわかりました。これにより、すべての画像がプロキシを介してパイプ処理され、品質が低下します。ただし、改行が正しく終了していないため、このスクリプトは、FirefoxまたはOperaでXHTML1.1またはXMLドキュメントと組み合わせて解析することはできません。

head私が見ているように、これがあなたの最初の数行です:

<head> 
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> 
<title>The Smile Zone | Home</title> 
<link rel="stylesheet" type="text/css" href="manager/templates/smiletemplate/css/style.css" /> 
<link type="text/css" rel="stylesheet" href="http://www.jotform.com/css/styles/form.css?v3"/> 
<link href="manager/templates/smiletemplate/css/calendarview.css" rel="stylesheet" type="text/css" />

ワイヤレスサービスのこの動作を無効にできるかどうかはわかりませんが、サイトの他の訪問者が同じ問題を抱えているわけではないので安心できます。

于 2010-09-26T20:18:41.063 に答える
4

T-mobileでは、「モバイルブロードバンドアクセラレータ」と呼ばれます。http://accelerator.t-mobile.co.ukまたはhttp://1.2.3.50/にアクセスして、無効化/構成できます。また、モバイルネットワークプロキシによるJavaScriptの挿入を停止するもご覧ください。

于 2011-10-13T19:01:24.910 に答える
1

SSLを使用してWebサイトをロードするか、VPN(またはTor)を使用して参照すると、ISPはデータを表示して変更することができなくなります。ただし、これは必ずしもユーザーに役立つとは限りません。

于 2010-09-26T20:22:52.613 に答える
0

スクリプトの挿入を防ぐためにコードに入れることができるものはありますか?

WebサイトにContent-Security- PolicyHTTPヘッダーを設定すると、挿入されたスクリプトが最新のブラウザーに読み込まれないようにすることができます。

開始するには、 「html5rocks:コンテンツセキュリティポリシーの概要」を参照してください。ただし、このようなポリシーでは、自分のWebサイトに必要なリソース(Googleフォント、CDNなど)を拒否しないように注意する必要があります。これを正しく行うには時間がかかる場合があります。

たとえば、次のHTTPヘッダーは、最新のブラウザがWebサイト自体のドメインからリソースをフェッチすることのみを許可するため、外部BMIスクリプトがフェッチされないようにします。

Content-Security-Policy: default-src 'self';
于 2014-09-04T16:06:23.387 に答える