转一个帖子：为什么会有免费代理？ 讲的是 js 劫持

羊毛出在羊身上

还好大部分需要翻墙的都是https的…

嗯哼，所以还是自己搭建最靠谱，免费是有代价的。

https 也可能遇到被降级的问题…

https链接可以被一个简单的js脚本降级……

Google搜索的反代也不要去用

免费的东西最贵。

推荐自己搭建 或者买收费的 因为阴谋论太多了。。。始终还是掏了钱放心

发免费SS、免费VPN、免费反向代理，改host
人气真是旺啊

@LazyZhu 担心蜜罐吗？

这世上只要委托别人的事都可能有风险。但大部分人依然好好的活着。

@lhbc 。。。我确定我没有干啥坏事

@Daniel65536 不会，只要整个过程中没有http。局部的https没有意义。
另外在IE11里非https的js无法操作https部分，其他浏览器不清楚。

所有的代理、vpn 全部都有这个问题
不是只有 **免费** 的才有
只是一般人会认为付费的没必要做这些小动作
但真的是这样么？
举个不适当的例子
我们是缴了网费才能上网的
ISP 还不是一样各种 dns 劫持、http 劫持

@hjc4869 用js拦截点击事件，然后替换点击的地址到http，IE 11能拦截这个？

@Daniel65536 首先纯https页面里插不进去这个js，这才是最主要的问题。

国人大部分不重视个人隐私的自我保护, 在天朝只能自己保护自己, 苦口良药, 但占小便宜的心理总是占了上风, 等密码隐私泄漏, 遭遇诈骗的时候又会怨天尤人, 循环往复.

@hjc4869 首先你得直接打开那个https页面，而不是通过一个http页面跳转，这才是主要问题。

昨天路由器部署ss后，用迅雷下载～太平洋战争～满速！两个小时后vps被停了，IDC引用了版权所有者发给他们的声明邮件，才发现下载到美国的资源了，还好第一次只是警告了下，读完后点确认又给开了。以后再也不敢翻墙情况下用迅雷下载了。

@Daniel65536 你说的是，攻击者将本该跳转的HTTPS页面放在HTTP内？

@hjc4869 攻击者可以在所有的http页面内用js劫持各种点击事件，把所有通向https的链接在点击的瞬间替换成http的，于是你压根就没法跳转到一个https页面去，除非你直接输入https地址敲回车。
你可以参考这个： http://www.freebuf.com/articles/web/47076.html