那些遇到过的问题

单击链接时某些网站使用的“隐藏”重定向页面是什么?

Cel*_*tas 5 security website http

我不知道如何表达这些问题。很久以前我在哪些指出,用户不得不更换一个规则论坛阅读httphxxp中的链接,以防止服务器(或人)从暗中监视他们。我注意到一些网站有一个不明显的“重定向”页面,用户在单击链接将他们带到不同的网站后会通过该页面。这是关于什么的?

我只是在使用 Slack.com 并注意到有一个链接,https://pr.to/example/当我点击链接时,我被带到一个中间页面(https://slack-redirect/link?url=https://pr.to/example/&v=3或类似的页面),然后被带到最后一页。这是什么?

我还注意到,当我将鼠标悬停在链接上时,我的浏览器通常不会显示中间页面的 URL(但有时会显示)。我正在使用最新版本的 Firefox。这种安全漏洞不是被带到与 URL 所说的不同的页面吗?

Mim*_*imp 5

这些链接正在使用其他技术进行操作,而不是简单的 HTML。站点上使用的技术可能有很大差异,PHP、Javascript 等。站点的所有者/运营商已努力使链接看起来是普通链接,但由于底层脚本,它们的功能完全不同。不幸的是,即使使用简单的 HTML,也不能保证您看到的文本实际上就是链接将带您到的位置。

许多论坛都提供这种重定向,以提醒用户他们可能点击了一些危险的东西,并且不受论坛运营商的控制。恶意用户可能会在非常合法的网站论坛上发布病毒链接。该链接可能看起来是合法的,但这种警告可能会有所帮助,并告诉论坛用户他们实际上最终会到达哪里,并经常为他们提供机会中止点击链接的尝试。

其他网站将使用这种重定向作为一个机会来产生最后一点广告收入,因为他们意识到他们正在失去他们的观众。

总而言之,这项技术本身并不是邪恶的或坏的,它实际上取决于站点的所有者及其应用程序/目标。

这并不是真正的安全漏洞,但它可能被视为对正常浏览预期的欺骗或干扰。不幸的是,作为用户,您几乎没有追索权,如果您知道某个站点使用它们,您可以拒绝单击将生成这些重定向页面的外部链接。您也可以选择自己手动输入 URL。

  • @Celeritas Slack 这样做是为了隐藏您即将访问的网站的引用页面。因此,目标站点无法看到您来自哪个 Slack 团队和渠道。 (3认同)

Pol*_*ome 5

出于各种原因使用重定向。

原因之一是它增加了隐私。当您点击链接时,您的浏览器会发送一个引用 - 您来自的站点。这意味着您将要访问的网站的所有者确切地知道您来自何处。中间的重定向页面掩盖了这一点。假设您正在查看的页面是 SO。SO 不对链接使用重定向。这意味着只要外部站点从 SO 链接并且您点击该链接,外部站点的所有者就确切知道您是从哪个 SO 回答(或问题)来到他的站点的。如果有适当的重定向,第三方只会知道您来自 SO 上的某个地方,而不是确切地来自何处。如果使用 SE 重定向,他可能只会知道您来自整个 SE 网络中的某个地方。

另一个原因可能是安全性。一些站点使用 GET 参数来存储会话 ID(这在过去更流行,用户不使用 cookie 是一个更大的问题)。将会话 ID 泄露给第三方是危险的,因为它允许(暂时)超越帐户。重定向通过不泄漏会话 ID 来解决此问题。

但还有其他原因。网站所有者可能想要跟踪用户点击了哪些链接。这通常是不可能的。重定向可以很容易地用于计算点击哪个链接的频率。

您还可以在两者之间显示信息页面。这样做的原因有多种 - 通知用户他离开了您的网站(和策划的内容),或者在用户离开时显示额外的广告。

原因是多方面的,没有一个是完全坏的。

有几种技术可用于掩盖用户第一眼看到的情况。

<a href="redirect.php?url=example.org">example.org</a>
Run Code Online (Sandbox Code Playgroud)

请注意,在此示例中,您只看到example.orgas 链接,但它实际上转到redirect.php?url=example.org. 在这种情况下,您可以在浏览器一角的鼠标悬停时看到这一点。

但是,您也可以使用 JS 来隐藏它:

<a href="#" onclick="javascript:window.location='redirect.php?url=example.org'">example.org</a>
Run Code Online (Sandbox Code Playgroud)

在这里,该链接依赖于在您的浏览器中启用的 JavaScript,并使用它来将您带到(隐藏的)位置。这不能通过鼠标悬停看到,但通过检查页面源。

有更好的方法可以用 JS 来掩盖这一点,但越来越难以发现。

可以用来欺骗用户。这就是 URL 缩短器在许多平台上变得不受欢迎的原因之一——因为它们使用相同的重定向技术,用户看不到他的最终位置,并且因为你不知道 URL 缩短器是什么类型的信息来自用户的服务跟踪。

Aga*_*nju 3

我认为你把几件事混在一起了。

  1. 您在网站上看到的链接只是文本。它不一定与链接的位置有任何关系。示例:链接可以是“在 youtube 上查看”,但链接到“hacker.ru”
  2. 当你将鼠标悬停在上面时,你看到的就是将要执行的真实 URL。当您单击时,这就是您的浏览器发送的内容。
  3. 但是,该 URL 可以是一个简单的 HTML 页面,也可以是自动转发到任何其他 HTML 页面的 HTML 页面,或者它可以由服务器处理并执行许多操作,例如开始下载或访问到另一个 URL。
  4. 以这种方式加载的每个页面都可以重复任一重定向,直到您(希望)最终显示一些内容。

链中的每个服务器都会获取有关您的基本数据;这取决于您的浏览器允许他们看到的内容。通常,这包括您的操作系统类型和版本、您的浏览器类型和版本,可能还包括您的用户 ID、您的大致位置、您的广告标识符和其他一些内容。如今,大多数浏览器都允许您对此进行限制,仅限于浏览器和操作系统版本。

我从来没有听说过“hxxp”这个想法,我怀疑它是否真实,或者如果是的话,它有什么区别。我认为这是一个童话故事,但也许其他人可以在那里启发我们。

归档时间:

查看次数:

7632 次

最近记录:

9 年,1 月 前
相关归档
远程进入防火墙后面的 Linux 工作站 8
安装多个加密文件系统证书时,使用哪一个进行加密? 7
如何在 .emacs init 文件中隐藏登录信息(esp 密码)? 6
如何禁用 HTTP 级压缩? 6
限制 SSH 用户从一台机器连接 5
客户端证书和服务器端证书有什么区别? 4
是否可以从 Internet 访问 Windows 共享? 3
在 Windows 7 上没有密码物理登录,但通过 RDP 使用密码 3
Microsoft Security Essentials (MSE) 是否与 Windows XP 兼容? 2
如何针对受感染的网站强化系统? 1
难疑归档
为什么没有奇怪的 Windows 进程 ID? 162
使用键盘快捷键清除 Windows 命令提示符屏幕 160
什么是唤醒电脑的“魔包”? 157
为什么 CBS.log 文件大小为 20 GB 132
如何使用 Homebrew (Mac) 重新安装软件包? 130
如何让 Excel 将逗号解释为 CSV 文件中的默认分隔符? 122
Markdown 文件的文件扩展名? 120
如果 DOS 是单任务处理,那么在旧版本的 Windows 中如何进行多任务处理? 116
如何退出`sudo su`? 114
在 bash 提示符下仅显示当前目录名称(不是完整路径) 113