网站内容劫持 广告(不小心中招了一个浏览器广告劫持工具，像我这种万年老司机都中招 )

　　网站内容劫持 广告(不小心中招了一个浏览器广告劫持工具，像我这种万年老司机都中招

)

　　今天在搜索某个关键词的时候，不小心中招了一个浏览器广告劫持工具。像我这样的老司机已经被招募了。可见这次劫持的欺骗性有多大。让我们回顾一下。看看发生了什么。

　　劫持和恢复

　　这只是一个广告页面

　　浏览器通知广告示例

　　劫持分析 这种劫持方法非常具有欺骗性。跳转域名有captcha字样，给人的第一印象是recaptcha这样的前置机器人识别功能，认为跟着它的引导操作就可以到达着陆页。随后的广告弹窗是随机的，非常隐蔽普通用户对浏览器通知（Web Notifications）的技术还是比较陌生的，也就是不知道它们是什么，不知道该如何处理。目前只有在国外网站见过这种劫持。劫持的扩散方式是通过访问被劫持（被黑）网页的用户达到的，受害者网站的流量不会100%。%劫持，最常见的是按百分比控制，还要按时间段和地区（不针对管理员所在国家/地区进行劫持），所以对于小的 网站 管理员来说，有时很难注意到 网站 被黑了。怎么解决

　　解决方法很简单，在浏览器设置中去掉劫持网站的消息通知授权即可。以下是 Chrome 浏览器的示例：

　　后续思考

　　浏览器通知实际上是一个非常有用的功能。有不少 网站 使用这个函数。最方便的是网站可以在浏览器窗口最小化时实时显示在桌面右下角。弹出信息，同时也存在着和任何便捷功能一样被滥用的问题。在利益的驱使下，这些制作病毒和流氓（广告）软件的人的智慧几乎是无穷无尽的。普通用户在他们的串行组合中。在拳头的一击之下，几乎没有还手之力。

　　但相信浏览器厂商会在原有的默认授权提示上做出更多的安全保障，即使这种广告劫持使用消息通知功能是完全合法的（用户确实有点击授权），总之，好好浏览习惯将帮助用户更安全地上网。对于浏览器授权提示（包括消息通知、位置、*敏*感*词*、麦克风等），点击前一定要确认网站方是否可信。

　　技术背景

　　Web Notifications API 使页面能够发出通知，该通知将在页面外的系统级别显示（通常使用操作系统的标准通知机制，但这可能因平台和浏览器而异）。此功能使 Web 应用程序即使在应用程序空闲时也能向用户发送信息。最明显的用例之一是基于 Web 的电子邮件应用程序，它需要在每次收到新电子邮件时通知用户，即使用户正在使用另一个应用程序也是如此。

　　Notification.requestPermission( function(status) {

console.log(status); // 仅当值为 "granted" 时显示通知

var n = new Notification("title", {body: "notification body"}); // 显示通知

});