我还是有一些问题,但Cloudflare不会给我答案,所以就当是开放讨论了:
为什么Cloudflare甚至都不愿意执行SNI-Host校验?
我最后一看自己的服务器日志,漏进来(bypass了Cloudflare验证码的恶意请求)主机名全是google.com和pornhub.com。
在我自己的测试中也发现了这点——我只需要写一个SNI与一个已知的Cloudflare用户对的上的HTTPS请求,即使主机名写的是aistudio.google.com,Cloudflare都会转发这些请求。
以及,Cloudflare的Turnstile验证码过于脆弱(只需要在让那些自动化浏览器程序随机移动一下鼠标,然后点一下就通过了),为什么Cloudflare最后会决定换成这种东西?
为什么Cloudflare甚至都不愿意执行SNI-Host校验?
我最后一看自己的服务器日志,漏进来(bypass了Cloudflare验证码的恶意请求)主机名全是google.com和pornhub.com。
在我自己的测试中也发现了这点——我只需要写一个SNI与一个已知的Cloudflare用户对的上的HTTPS请求,即使主机名写的是aistudio.google.com,Cloudflare都会转发这些请求。
以及,Cloudflare的Turnstile验证码过于脆弱(只需要在让那些自动化浏览器程序随机移动一下鼠标,然后点一下就通过了),为什么Cloudflare最后会决定换成这种东西?