我一直在玩 mana-toolkit (https://github.com/sensepost/mana) 使用 SSLstrip 的修订形式来支持 HSTS。
我注意到 SSLStrip 会在 HTTPS 下的页面的域名 URL 中添加一个额外的“w”。但是在某些设备、操作系统和 Web 浏览器上,目标网页不会出现,而是显示空白页,或者显示页面但不显示格式或图片(例如 css、js 等的 URL 不起作用)或出现有关重定向次数过多的错误。
有人知道问题是什么吗?它与某些 Web 浏览器有关吗?能以某种方式缓解吗?这似乎是一个重大缺陷,并且使得解决方案的成功变得有点杂乱无章。
问候