这种山寨域名欺骗用户的HTTPS中间人思路是可行的吗

你的思路完全正确,这么多专家搞的preloading-hsts怎么可能出现弱智漏洞。但是你忽略了一点,HSTS前提是在网址输入正确的情况下防止SSLStrip的。钓鱼网站是简单粗暴的给你发一个假链接让你点。第一步网址都输错了,神都救不了了。
■网友
第一步还是一样的,先劫持普通HTTP,然后将协议中明文的HTTPS的替换成HTTP,只不过这里是替换成别的域名了
■网友
我认为是笔误:例如,将原本 http://www.alipay.com 的链接,跳转到 http://www.alipay.cn 这个钓鱼网站,仍会有不少用户觉察不到。或者:例如,将原本 https://www.alipay.com 的链接,篡改为 https://www.alipay.cn 这个钓鱼网站,仍会有不少用户觉察不到。


    推荐阅读