网站点击偶尔跳转到非法网站？浏览器拦截“疑似危险内容”及 bShare 插件劫持排查与 CSP 防御方案

三、终极防御：部署 CSP 内容安全策略

要彻底解决“合法域名被污染”或“未知第三方脚本注入”的问题，仅靠杀毒软件是不够的。我们需要在服务器端部署 CSP（内容安全策略）。

CSP 是一种由浏览器执行的安全机制，它能告诉浏览器：“我的网站只允许加载哪些来源的脚本”，从而阻断未经授权的代码运行。

Apache 服务器防护配置方案

建议将 CSP 配置直接写入虚拟主机配置（<VirtualHost>）或网站根目录的 .htaccess 文件中。

1. 基础防护配置（直接阻断）

<IfModule mod_headers.c>
    # 强制在所有响应（包括404/500错误页）中添加CSP头
    Header always set Content-Security-Policy "default-src 'self'; script-src 'self' https://trusted-plugin.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; object-src 'none'; base-uri 'self';"
</IfModule>

2. 配置指令详解

Header always set：使用 always 关键字确保策略在错误页面中也生效，防止攻击者利用 404 页面绕过防护。
script-src 'self' https://trusted-plugin.com：核心防线。仅允许加载本站自己的脚本 ('self') 和绝对信任的插件域名。请将 trusted-plugin.com 替换为您的正规插件域名，务必移除 static.bshare.cn 等可疑域名。
object-src 'none'：禁用 Flash、Java 等过时插件，减少攻击面。
default-src 'self'：默认所有资源（图片、CSS、AJAX等）只能从本站加载。

3. 过渡方案：报告模式

如果您不确定配置是否会影响网站现有功能，可以先使用 Report-Only 模式进行灰度测试。该模式下浏览器只会报告违规行为，但不会阻止加载。

# 先使用 Report-Only 模式观察日志
Header always set Content-Security-Policy-Report-Only "default-src 'self'; script-src 'self'; ..."

四、修补与清理步骤

如果您发现网站已被植入上述代码，请按以下步骤紧急处理：

全站搜索：在网站源码中搜索 bshareC0.js 或 buttonLite.js，彻底删除相关代码块。
检查模板文件：重点检查 WordPress 的 footer.php、Typecho 的 footer.php 或其他 CMS 的公共模板文件。
清除浏览器缓存：清理本地浏览器缓存，防止因本地缓存导致持续出现页面异常跳转或被拦截。
部署 CSP：按照上述教程配置 Apache 的 CSP 策略，从服务器层面杜绝此类问题再次发生。

总结： 对于网站运维而言，“不信任第三方” 是最基本的安全准则。通过及时清理被污染的插件并配合 CSP 策略，我们可以构建一道坚不可摧的防线，让恶意劫持无处遁形。

转载请注明：半亩方塘 » 网站点击偶尔跳转到非法网站？浏览器拦截“疑似危险内容”及 bShare 插件劫持排查与 CSP 防御方案

上一页 1 2