微博凭空自动关注和点赞 使用HSTS强制HTTPS加密避免变“傀儡”

微博作为时事热点的最前沿的，备受许多用户的喜欢，但是很多微博用户都有过同样的遭遇，那就是自己的微博账号在不知情的情况下自动关注了博主或给微博点赞的问题，很多用户想不明白，自己明明没有过这些操作，甚至微博都没有打开，为什么每次上线自己关注的人就无缘无故多出了几十个营销号，还点赞了几十条看都没看过的微博。

面对这种情况，用户只能被迫挨个将这些凭空出现的关注和点赞取消，但是每次取消后下一次又会再一次出现，这给许多微博用户带来非常不好的体验。

出现这种情况的原因

一般来说，微博账号在不知情的情况下自动关注博主或点赞微博无非以下三个原因：

1、用户的微博账号密码被窃取，被他人登录操作造成的；

2、用户使用第三方客户端登陆微博账号，第三方客户端在拿到微博的访问令牌后，然后权限被滥用；

3、在使用浏览器访问PC版微博时，在登录账号的时候cookies被泄露了。

在此之前，微博安全中心也向用户给出了安全建议，比如：建议用户更换密码、升级客户端、设置登录保护、清除第三方应用权限等等，但即时用户按照微博安全中心的建议尝试进行这些操作后，依旧无法完全解决问题，上述情况依然会发生。

虽然微博已经启用HTTPS加密,但是我们在使用微博时其他人发给你的链接有可能是使用HTTP的链接。当部分请求由HTTP站点使用301跳转到HTTPS时，这个HTTP请求仍然会带上浏览器在微博域下的所有cookie。这样一来，用户在登录账号后在某个特定场景访问到HTTP的微博链接时，仍然可能遭遇cookie劫持。

解决方法

对于微博用户来说，目前比较简单的解决方法就是在浏览器预置HSTS域名列表，目前谷歌、火狐或IE浏览器均支持该功能，用户将微博的域名加入预载入列表，就能强制浏览器仅使用HTTPS加密访问，减少被劫持的可能。

HSTS全称为HTTPS严格传输安全协议，网站选择使用HSTS后，能够强迫浏览器只使用HTTPS连接与网站进行信息交互，但是对于HSTS生效前的首次HTTP请求，仍然存在使用明文而被劫持的可能，所以我们可以通过浏览器预置HSTS域名列表来解决，事先在浏览器内预置一份列表，当用户访问列表中的域名时，即使用户是第一次访问，浏览器也会使用HTTPS协议。

当用户将微博主域名添加到HSTS预载入列表中后，如果浏览器在访问微博域名时检测到使用HTTP的链接，就会直接跳转到 HTTPS，避免遭受cookie劫持。

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/