@test99 https://boingboing.net/2016/11/16/beyond-bad-usb-poisontap-take.html 2 分 40 秒 自己去看。你有更好办法也可以去提。

@t6attack 这种方法能抓到运营商抓不到的 Cookie。你仔细看演示里面的请求域名，前面都有一个 ‘ a.’。这个就是规避 HSTS 的，没配置 includeSubDomains 或 preload 的 HTTPS 站点都无法避免。

这种方案目前已是流量攻击里最常用的手段，甚至 Bad USB 也是用这种办法（ USB 模拟一个网卡，然后批量发送 Cookie，老外貌似取了个名字叫虹吸法）。当然杠精们或许有更好更专业的办法，那是最好的。

@cs010 不需要跨域啊，甚至 JS 都不需要执行。直接在流量层截下请求就可以。

@zn 没看见模拟吗？非得搭真实设备吗。

@pisser 重定向是可以，但是一是效率低，页面不要停跳转，二是万一目标站开了 HSTS 跳转就终止了，永远留在目标站上。

@misaka19000
@Archeb 都提 HTTPS 和 secure 了当然是和中间人有关啊。再说中间人无处不在。

@terrytw 乱码已经好了。
@hflyf123 只填 HTTP 代理，参考截图。

@lscho #46 不是讲过了啊

我都是看路由器里 DHCP 列表里的 IP。。。

@kawaii303 重要的网站用专门的浏览器，禁用三方 Cookie （以及禁用各种扩展），只访问固定几个网站。平时访问普通网站用开着三方 Cookie 的浏览器。

@est 几年前还发现微博视频 flash 的一堆业务漏洞，任意网站都可以读取已登录微博的私信~（不用中间人，就普通的类 CSRF ）貌似到现在都没修。只是 flash 被主流浏览器禁用，这个漏洞自然失效。。。

另外网易邮箱同样也有这个漏洞，任意网站都可以读取发送用户的邮件~ 上报了几次同样没修，到现在仍有效。。。

这几个漏洞都是没禁用三方 Cookie 导致的。禁了三方 Cookie 绝大多数 CSRF 漏洞都会失效。

@snw 确实是网站自己的锅~ 比如微博所有 cookie 都没加 secure，前些时候貌似泄露了几千万条。。。

@beny2mor

60L @t6attack 讲的完全正确，就是这个意思。阻止三方 Cookie 就能防御这种攻击。

准备给 chrome 或者其他浏览器提一个建议，访问 HTTP 页面默认禁用三方 Cookie，这样就解决这个问题了。

装插件潜在的风险更大，还不如让 Google 跟踪算了~

最好禁用 WebRTC。

nodejs 用 uglifyjs 库跑一遍 AST，把 G[] 和 b() 节点进行求值替换就可以了。几十行代码就可以。

当时我就念了两句诗 👓
https://i.loli.net/2018/09/26/5bab1ddaa05f0.png