使用 CDN 时如何防劫持

本文分享自天翼云开发者社区《使用CDN时如何防劫持》.作者：潘****婧

用户在访问网站过程中，请求可能会被中间人劫持。按照劫持的方式，劫持可分为两类：一类是在域名解析层面进行劫持，一类是通过 http 302 跳转方式进行劫持。

无论是域名解析层面的劫持，还是应用层 http 302 层面的劫持，其本质都是服务端的伪装。可以通过在用户与 CDN 节点之间，CDN 节点内部，CDN 节点至客户源站之间采用全链路认证+加密通信机制，确保用户请求不被劫持。这就要求客户端必须严格校验服务器端身份，服务端需出示权威机构颁发的证书，并证明具备对客户端加密内容进行解密的能力，才能通过认证。客户端和服务端之间的校验机制，最常用的就是全链路 https 协议方式。

以下为全链路 https 原理图：

针对域名解析层面的劫持，还可以采用 HTTPDNS 的方式。该方式下，通常由客户端 app 提前发起 https 协议的待访问域名解析请求，获取目的节点 IP 后向目标 IP 发起正式 url 的 https 请求，从而避免域名劫持，常用于移动端 APP 的访问。