@nfroot 你是对的。但是诱骗用户安装证书这种事情相比控制整个客户端成本要低很多。

@nfroot 我只是在反驳你“楼猪你只要记住一点，用户使用了 HTTPS 打开网址，你就别指望劫持了，也别指望窃听了，也别指望篡改了”，没打算讨论它的价值。

但是这当然是有价值的，用户忽略是一种可能，另外在劫持 HTTP 的环境下，能篡改信息诱导用户安装自己的根证书，就像 12306 或者京东或者支付宝的行为；又或者把用户 HTTP 下载的文件篡改为会在系统中安装自己根证书的恶意软件；又或者我想特定攻击这个用户，早就通过一些途径在他电脑里安装过了根证书。之后还能说 HTTPS 是安全的吗？

@nfroot 伪造证书就可以。

没太看懂这个代码。这个 cache_list 作为缓存发挥的作用是什么？

@kfll
@yankebupt 用 DNS 记录里的 URL 转发可以做到这个跳转吗？

@kfll 又仔细看了一遍，应该确实是这个意思吧。明白了。如果这样，只有用户把某个 HTTP 页面当做浏览 HTTPS 页面的入口，才有这个效果，和 SSLStrip 还是相差很多的。

@9hills 可以篡改一些内容，但是也没有办法实现跳转吧， HTTPS 页面包含 HTTP 链接的 js 文件的话，浏览器默认不会执行这段 js 的。

@yankebupt 是呀。但是这样的跳转是可行的吗？还是说像二楼那样的钓鱼。

你学了就知道了。

就我的直觉来说，我觉得八楼是对的

附近的有钱人功能

那就在前端拉大呗

这能怪谁

让这个 div fixed 就好了呀。再用 js 判断一下如果长度超过屏幕高度就让他不是 fixed ，滚到底了再变成 fixed 就好了。

我怎么没灰

@BruceYuan 不要慌，要好好学习。虽然我也慌。

@game3108 需要在贴吧里面点放到桌面，看样子是可以自动做到的吧（但是没有这个需求）。你可以去试一下。