惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
The Blog of Author Tim Ferriss
S
Securelist
D
Docker
The Register - Security
The Register - Security
GbyAI
GbyAI
Recorded Future
Recorded Future
Engineering at Meta
Engineering at Meta
Stack Overflow Blog
Stack Overflow Blog
云风的 BLOG
云风的 BLOG
P
Proofpoint News Feed
罗磊的独立博客
博客园 - 【当耐特】
F
Full Disclosure
WordPress大学
WordPress大学
腾讯CDC
小众软件
小众软件
大猫的无限游戏
大猫的无限游戏
D
DataBreaches.Net
SecWiki News
SecWiki News
L
Lohrmann on Cybersecurity
I
InfoQ
MyScale Blog
MyScale Blog
量子位
Cyberwarzone
Cyberwarzone
博客园 - 三生石上(FineUI控件)
The Hacker News
The Hacker News
F
Fortinet All Blogs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Jina AI
Jina AI
博客园_首页
H
Help Net Security
K
Kaspersky official blog
酷 壳 – CoolShell
酷 壳 – CoolShell
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
www.infosecurity-magazine.com
www.infosecurity-magazine.com
Webroot Blog
Webroot Blog
Blog — PlanetScale
Blog — PlanetScale
V
Vulnerabilities – Threatpost
Y
Y Combinator Blog
The Cloudflare Blog
P
Proofpoint News Feed
V
Visual Studio Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tailwind CSS Blog
爱范儿
爱范儿
P
Privacy International News Feed
Security Archives - TechRepublic
Security Archives - TechRepublic
The GitHub Blog
The GitHub Blog
C
Cybersecurity and Infrastructure Security Agency CISA
B
Blog RSS Feed

Firgt's Blog

分享一个自用车载歌单,就是风格比较… – Firgt's Blog 使用CloudflareCDN的网站被劫持的经验教训 – Firgt's Blog 【25.1.21-26.1.21】我在萌社区一周年总结 – Firgt's Blog 【AI】WindowsPhone的失败 – Firgt's Blog 分享资源盘(不定期上传一些新东西) – Firgt's Blog 【AI】LittlePan_v2:轻量高效的现代外链网盘管理系统,让文件管理更简单✨ – Firgt's Blog 【AI】LittlePan:一款轻量可靠的自建外链网盘系统,从开发到落地的全解析 – Firgt's Blog Firgt资源盘API说明文档 – Firgt's Blog 利用向量点积为零的条件和距离相等条件,建立方程求解 – Firgt's Blog
使用CloudflareCDN却不幸遭到域名劫持,跳转到恶意网站,如何解决? – Firgt's Blog
Firgt Zhong · 2026-02-24 · via Firgt's Blog

Firgt的博客发布

事情前因

在26年春节的时候,大家都在休息嘛,我也比较懒。我不知道的是,我的博客还有我firgt.cn下的时候子域名开始遭到劫持,只要用户一访问就会跳转到黄网(看看我发的帖子——娘的,我气死了,站点全都停用了,还跳黄
哈哈

↑这里要感谢萌友Yuenji的反馈。

事件过程

刚开始还以为,wtf是不是我的网站遭到攻击了,但是转念一想,我不是用了Cloudflare CDN吗,是不是cf又日常抽风?
先查了一下服务器的log,奇怪,压根就没有跳转到某某网站的响应,查了一下,服务器还是安全的。
emm…于是乎,上网一顿猛搜,发现曾经有人伪造过假请求到cf的cdn,造成cdn缓存被注入。比如他伪造一个假请求到你的域名,是提供cdn的缓存,误以为按照用户的请求应当通过域名跳转至某某网站(只要缓存不清除的话,这个现象就会有)
那我就试了一下,清了几次缓存,TTL的拉取时间从原来的20小时变成了1小时
还是没有用
于是我把重心放在了DNS上,去配置了DNSSEC
我就想着,这回终于有用了吧,但是事与愿违,刷新多几次还是会跳转9*窝

博客内

一时间束手无措,到底哪里出了问题?
查了log,服务器响应没有夹带私货
在本地运行网站,没有私货
使用cdn的js文件,没有夹带私货
只能是Cloudflare CDN的缓存及请求问题(有人使用假的请求,使CDN缓存夹带私货)
所以暂时使用cf五秒盾I’m Under Attack!解决
本以为开了人机验证就万事大吉了
结果…

QWQ

啊啊啊😭
娘的,我受不了了!
尝试了开HSTS,关站,停止DNS解析,结果还是跳转到黄网上(难不成哪个byd偷偷把DNS解析到某某黄网了😱)
最后萌友芹香serika反馈,终于让我意识到了问题

emm

运营商 / 路由器在页面里偷偷加一段 JS 跳转
浏览器加载完你的页面后,被本地恶意代码跳走
😂我真是哭笑不得,那没办法,去网上查了一下这种问题的解决方案,通过使用CSP(内容安全策略)防住页面注入跳转
用户就算被注入代码,浏览器也会直接拦截,跳不走

解决方案

我这里以宝塔、Nginx举例修改安全响应头,使用CSP(内容安全策略)

步骤

  1. 登录宝塔面板 → 左侧「网站」→ 找到你的博客网站 → 点击「设置」;
  2. 切换到「配置文件」标签,找到 server { ... } 核心代码块(不要动全局主配置的http块,这里只改单站)。
  3. server 块内任意空白处粘贴以下代码(可以按照注意里的提示自行修改):
add_header Content-Security-Policy "default-src 'self' https://v1.hitokoto.cn https://hitokoto.cn; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data: *; frame-src 'self'; child-src 'self'; object-src 'self'; frame-ancestors 'self'; base-uri 'self'; form-action 'self'" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), notifications=(), popup=(), fullscreen=(), autoplay=()" always;
  1. 点击「保存」,再「重启 Nginx」,点击「确定」;
  2. 打开 Cloudflare 后台 → 「缓存」→ 「清除全部缓存」(也可以开启开发模式,凑合一下);
  3. 浏览器开无痕模式访问网站,按 Ctrl+F5 强制刷新。

注意

default-src里已加https://v1.hitokoto.cn https://hitokoto.cn白名单(放行一言API,保证正常使用)

如果不想用*放行所有图片,可精准指定图片域名(比如你的图片 CDN 是cdn.firgt.cn):

img-src 'self' data: https://blog.firgt.cn https://cdn.firgt.cn;

我这里是通过Object来内嵌页面,如果只想放行/match/目录的内嵌 HTML:

object-src 'self' /match/;

最后得到

检测结果

反馈

至此大功告成
如果你有建议或要反馈问题,可以联系我
作者:FirgtZhong

本文作者:FirgtZhong
本文标题:使用CloudflareCDN却不幸遭到域名劫持,跳转到恶意网站,如何解决?
本文链接:https://blog.firgt.cn/2026/02/24/use_cloudflarecdn_and_under_attack/
版权声明:本文采用 CC BY-NC-SA 3.0 CN 协议进行许可