为什么 neverssl.com 会将您重定向到随机子域?

为什么 neverssl.com 会将您重定向到随机子域?

我在读这个有趣的答案每次我进入neverssl.com网页会将我重定向到一个看似随机的子域。例如,登录页面总是类似这样的内容http://bcdfhkmlnvtxwrzs.neverssl.com/online。我还注意到重定向是使用 javascript 完成的,因为当我禁用它时它就停止工作了。

所以我想知道重定向到随机子域名如何帮助用户重定向到强制门户,这是该网站的唯一目的。

答案1

如果您尝试访问 HTTPS 站点,拦截强制门户将不起作用。您只会看到 SSL 错误页面。

如果您通过纯 HTTP 而不是 HTTPS 访问网站,则该网站可以做的一件事就是包含 HSTS 标头。这将使浏览器始终通过 HSTS 访问,而不会尝试 HTTP。

这意味着您的浏览器可能永远看不到强制门户页面,因此无法登录。

此站点的目的是提供一个没有 HSTS 标头的页面,以便在需要时它将始终重定向到强制门户。

随机 URL 是为了阻止浏览器尝试从缓存中加载页面。由于浏览器之前从未见过该 URL,因此它将始终尝试从网络获取页面,从而为强制门户提供了工作机会。

相关内容