HTTPS能否避免流量劫持？

原文链接： https://www.wosign.com/FAQ/faq_2019082701.htm

流量劫持会带来什么危害？不同的劫持方式，获得的流量也有所差异。DNS劫持，只能截获通过域名发起的流量，直接使用IP地址的通信则不受影响；CDN入侵，只有浏览网页或下载时才有风险，其他场合则毫无问题；而网关被劫持，用户所有流量都难逃魔掌。

1、http易致在线应用被劫持

网页技术在近些年里有了很大的发展，但其底层协议始终没有太大的改进 —— HTTP，一种使用了 20 多年古老协议。在 HTTP 里，一切都是明文传输的，流量在途中可随心所欲的被控制。而在线使用的 WebApp，流量里既有通信数据，又有程序的界面和代码，劫持简直轻而易举。因此，劫持网页流量成了各路黑客们的钟爱，一种可在任意网页发起XSS的入侵方式。

2、公共场合使用http，不登陆也会被劫持

在自己的设备上，大家都会记住各种账号的登录状态，反正只有自己用，也没什么大不了的。然而，在被劫持的网络里，即使浏览再平常不过的网页，或许一个悄无声息的间谍脚本已暗藏其中，正偷偷访问你那登录着的网页，操控起你的账号了。

3、http状态下，Cookie记录或浏览器自动填表单，都会导致账号密码被截获

http状态下，cookie记录的都是明文的账号密码，被劫持泄露后，即使数量不多，也能通过社工获取到用户的更多信息，最终导致更严重的泄露。

4、HTTP缓存投毒

HTTP这种简单的纯文本协议，几乎没有一种签名机制，来验证内容的真实性。即使页面被篡改了，浏览器也完全无法得知，甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源，都可以通过预加载带毒的版本，将其提前缓存起来。

5、Https能避免劫持吗？

能！但前提是必须用受信任的SSL证书。

不同于简单的Http代理，HTTPS服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户不明白是什么情况，就点了继续，导致允许了黑客的伪证书，HTTPS流量因此遭到劫持。

如果重要的账户网站遇到这种情况，无论如何都不该点击继续，否则大门钥匙或许就落入黑客之手。