最近一个月了,每次访问百度都是先到一个http://的地址,然后跳转到一个加了小尾巴的地址,如下图。通过chrome开发者工具看到那个非HTTPS的页面其实是一个iframe内嵌页,把正式的百度网站嵌在里边,然后跳转到加了小尾巴的百度地址。百度很早就知道了流量劫持,也用过很多方法,但是为什么最行之有效又免费的方法百度却不用呢?说一下,这是用的我们校园网,由校网络中心负责。如果是企业负责的宽带直接打客服骂一顿就好了。可是老师就不能骂了,说不好会被开除的。
百度现在似乎也开启了HSTS,但是……
max-age=172800???就两天?好像这么短的时间会被一些浏览器直接忽略吧。