Firefox 如何知道我的 ISP 登录页面？

所以，我的问题是 Firefox 如何知道登录页面地址？

实际上并没有。

您的 ISP 使用一种称为Captive Portal的技术。强制门户通过“以某种方式”劫持浏览器的 HTTP 请求并将其重定向到登录门户来工作。

这种“不知何故”可以通过不同的方式来实现，例如

• HTTP 重定向
• ICMP 重定向
• DNS劫持

反过来，您的浏览器会尝试通过尝试检索知名网页并检查他们返回的响应是他们期望的响应还是其他什么来检测这种“劫持”。以下是此类“劫持检测系统”使用的一些页面示例：

• http://captive.apple.com/（苹果）
• http://msftconnecttest.com/（微软）
• http://connectivitycheck.gstatic.com/generate_204（谷歌）
• http://clients3.google.com/generate_204（Android 6.0 之前的版本）
• http://detectportal.firefox.com/success.txt (火狐)

谷歌给出了一个关于它是如何工作的提示：网络服务器将响应一个HTTP 204 No Content status code。但是，强制门户将返回内容（否则它将无用），因此永远不会使用 204 状态代码进行回答。最有可能的是，它将使用307临时重定向来告诉浏览器获取不同的 URI（强制门户登录页面的 URI）。

其他的则使用具有众所周知内容的小文档（例如，Apple 仅包含“成功”一词）。

实际上，劫持检测不必由浏览器执行。大多数现代设备在连接到开放 WiFi 时会自动运行此“强制门户劫持检测”，并自动弹出一个对话框，允许您转到强制门户，而无需显式打开浏览器并访问某些网页.

原因是在现代互联网世界中，浏览器不一定是用户尝试使用互联网的第一个应用程序。例如，它可以是 Facebook 客户端、WhatsApp 或电子邮件客户端。

请注意，我故意使用了“劫持”一词。这些技术实际上基本上是在执行中间人攻击。（不同之处在于“真正的”攻击者会尝试将您重定向到与您想要访问的网站完全相同的网站，并诱骗您在虚假网站上输入用户名和密码。）因此，这些技术仅适用于只要您尝试访问“不安全”网站，即不使用SSL/TLS（即 no https://）、不使用HTTP Strict Transport Security (HSTS)等的网站。

这开始成为一个问题，因为越来越多的网站只能通过 HTTPS (TLS) 访问。现代浏览器会记住网站是否支持 HTTPS 并将使用 HTTPS 版本，无论您在 URI 栏中输入什么内容。HSTS 等技术可确保浏览器始终使用网站的加密版本。较新版本的 HTTP 协议（​​例如 HTTP/2 和 HTTP/3）并不严格要求加密，但所有主要浏览器供应商都决定仅针对 HTTPS 连接实施它们。

例如，如果您尝试访问 Facebook 或 SuperUser，您的浏览器将自动使用经过加密、经过身份验证的连接，并且当强制门户尝试将浏览器重定向到登录页面时，浏览器将检测到这种操作并抛出错误。通常，这正是您想要的，但在这种情况下，它会阻止您登录强制门户，从而无法使用 Internet。

如果您在连接到 WiFi 时遇到问题，但您的应用程序显示错误或无限期加载，原因几乎可以肯定是由于某种原因您没有登录强制门户。也许你没有看到弹出的通知，也许检测失败，可能有很多原因。

在这种情况下，您可以通过访问您知道“不安全”的网站来解决问题，即不使用 HSTS、SSL/TLS 或 HTTP/2（标准指定了 HTTP 和 HTTPS，但浏览器供应商已决定他们将只支持HTTP/2 的 HTTPS）。上面提到的 URI 应该可以解决问题，但实际上有些好心人已经建立了一个网站，正是为了达到这个目的，并且它的 URI 很容易记住： http: //neverssl.com/。

NeverSSL 就像它的名字所暗示的那样：它只是一个完全无用的网站，其唯一目的是从不使用 SSL/TLS、HSTS、HTTP/2、QUIC 或除未加密、未验证、不安全、纯 HTTP/ 之外的任何东西1.1，以便强制门户可以拦截请求并重定向到其登录页面。

该功能称为强制门户检测。Firefox 将尝试获取http://detectportal.firefox.com/success.txt并记录答案。如果有重定向，它就知道有一个登录页面并会弹出警告。

http://support.moonpoint.com/network/web/browser/firefox/detect_portal/上的快速文章解释了该功能并显示了如何在需要时禁用它

除了非常完整的@JörgWMittag 答案之外，强制门户还实现了由 Wifi 联盟定义的WISPr协议，任何实现强制门户的客户端/路由器/AP 都应该理解该协议。

它存在于主要供应商（即 Cisco 和 Aruba）的强制门户实施中，也存在于 PfSense 中的强制门户实施中。

Firefox 也很了解它，WISPr 本身会触发著名的自动 Apple 身份验证受限浏览器 (CNA)。（根据我的测试，仅重定向不足以触发这些窗口，至少在 Apple 设备中是这样）

实际的 WISPr 作为 HTML 标记出现在客户端被重定向到的主页中，并定义了登录、注销和中止页面的 URL。它还为这些 URL 生成的页面定义状态代码。

如：

<!-- WISPr message -->^M
<span class="displayNone"><!--<?xml version="1.0" encoding="UTF-8"?>^M
<WISPAccessGatewayParam xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.acmewisp.com/WISPAccessGatewayParam.xsd">^M
<Redirect>^M
<AccessProcedure>1.0</AccessProcedure>^M
<LoginURL>https://xxxx/captive/noswifi?hmac=xxxx&amp;res=notyet&amp;uamip=xxxx&amp;uamport=80&amp;userurl=&amp;challenge=xxxxxxe&amp;nasid=BC-14-01-XX-XX-XX&amp;mac=00-15-AF-XX-XX-XX</LoginURL>^M
<AbortLoginURL>http://xxxx:80/captive/logoff</AbortLoginURL>^M
<MessageType>100</MessageType>^M
<ResponseCode>0</ResponseCode>^M
<AccessLocation>FonZON:PT</AccessLocation>^M
</Redirect>^M
</WISPAccessGatewayParam>-->^M
</span>

有关如何实施/处理强制页面的更多详细信息（和线索），请参阅我的其他答案：

从 FON 身份验证门户获取 WISPr 标签

使用 Apache 实现强制门户

强制门户检测，弹出实现？

有关的：

在 MacOS 中禁用 CNA

在文本模式下如何使用强制门户？

PS 有趣的是，一些 CPE/电缆调制解调器正在（ab）使用 WISPr 在没有 Internet 连接/启动时在他们的浏览器中向客户显示错误消息。