有言在先
この機能を違法な目的に使用しないでください。この機能は Huorong のセキュリティ上の脆弱性ではありません。
この機能の主な適用シナリオは、赤ちゃん用ソフトウェアをバンドルすることであり、Huorong ユーザーの場合は、ソフトウェアのブロックを回避し、プロモーション効果に影響を与えるために、検出できない純粋なバージョンまたはバンドルされたソフトウェアをダウンロードできます。ソフトウェアのインストールにはユーザーの同意が必要です。
原理
Huorong Security は一部のスパム Web サイトや不正な Web サイトをブロックします。これらのブロックされた Web サイトにアクセスして、ユーザーが Huorong を実行しているかどうかを判断する情報を返すことができます。
ブラウザはクロスドメインを許可していませんが、エラー レポートのステータス コードを使用して、ユーザーのローカル Huorong セキュリティ操作を分析できます。
ナンセンスなことを言わないで、コードに直接アクセスしてください
コード
Tinder を実行すると、data.status は 200 になりますが、404 は許可されません
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试</title>
<script src="http://code.jquery.com/jquery-2.1.1.min.js"></script>
</head>
<body>
<script>
$(document).ready(function () {
try {
$.ajax({
type: "OPTIONS",
async: false,
url: "http://www.xiaobaixitong.com/d/imgs2018/image/banner/NewDown.png",
dataType: "jsonp",
jsonp: "jsonp",
error: function (data) {
if (data.status === 200) {
$("#hr").html("您正在运行火绒")
} else {
$("#hr").html("您没有运行火绒")
}
// console.clear()
}
});
} catch (e) {
console.log(e)
}
})
</script>
<h1>火绒:<span id="hr" style="color:#d50000"></span></h1>
</body>
</html>
デモ画像
同様のスキーム
特定のリソースにアクセスして環境を判断するもう 1 つの例は 360 ブラウザ判断です。360 ブラウザは UA ヘッダーに独自のブラウザ情報を表示しなくなり、後に Google Chrome とまったく同じ UA を使用できることが判明しました。特別なリソースのリクエストに対して同様のソリューション判定をパスする (現在 360 ブラウザは修復されています)