浏览器的地址栏，是通往神秘赛博世界的一道门。

打开门，也许是你早已心仪已久的一家购物网站，也可能是一些你无法预料的场景：

或是闪着红色小灯的发廊线上版

或是各色骰子在飞舞旋转，向你招手

或是一个简单的拒绝：404

你恍若闯入了一个神奇的大不雅观园，不知道接下来的是一个人，还是一条狗，或者两者都是。

这绝不是一次你想要的惊险刺激的冒险，你以为这是小伴侣突然翻了一次墙么？

赛博世界，我想要知道我在哪，我去哪。

腾讯玄武实验室技术专家徐少培说：“Google曾公开体现在现代浏览器中，地址栏是唯一可靠的指示器。”

这句话应该如何理解？通俗的来说就是，如果地址栏上出现了安适问题，后续所拜候的Web页面，可信任的体系将全部崩塌。

雷锋网决定，先上个数据震撼一下你。

上周，Chrome发布了最新的版本，在安适漏洞傍边，其中有16个漏洞由外部人员提交。在这16个漏洞傍边，中高危漏洞占了12个，获得了谷歌的漏洞奖励。在这12个漏洞傍边，有3个漏洞是地址栏上的漏洞，也就是说，Chrome浏览器作为目前业界公认的最安适的浏览器，其中地址栏上的安适漏洞占比四分之一。

对浏览器厂商而言，不但要消除软件中的缓冲区溢出，最大的安适挑战之一是如何帮手用户在上网时做出正确和安适的决策。

因此，浏览器厂商绞尽脑汁。

第一个指示灯：安适指示符

很久以前，浏览器厂商搞出了一个安适指示符，就像是一枚路标，告诉你前方是一片坦途还是沼泽丛林。

安适指示符琳琅满目。你可能在地址栏看到的是一把绿色的小锁，也可能是把灰色的大锁，或是一个“地球”。

HTTP 和 HTTPS 又差别，一边是白色符号，而别的一边可能是绿色符号。差别的符号究竟代表什么？这些符号背后有何深意？

2015年，谷歌曾就此采访过1329人，尴尬的是，大部分人对于HTTPS这个指示符略有了解，看到有一个锁，就知道可能是加密或者是安适的问题。对于HTTP这个标识符，一些专家可能都不太明白是什么意思。

看到这里你应该高兴，看，你又比专家多懂了一点点。

当你点开这些各种各样的小符号，其实又打开了一片新天地：

内有更多对当前页面权限的设置，以及这个网站是否安适等选项。

第二个指示灯：URL

我们已经了解到在地址栏中安适指示符如何来标识当前网站的安适状态，它是一枚路标，而统一资源定位符（URL）才是地址栏中的真正主角，它告诉你在哪和你要去哪，相当于一张有定位的地图。

基本URL包罗模式（或称协议）、办事器名称（或IP地址）、路径和文件名，如“协议://授权/路径?查询”。完整的、带有授权部分的普通统一资源标识表记标帜符语法如下：协议://用户名:密码@子域名.域名.顶级域名:端标语/目录/文件名.文件后缀?参数=值#标识表记标帜。

所谓协议，是有很多的：

http——超文本传输协议资源

https——用安适套接字层传送的超文本传输协议

ftp——文件传输协议

mailto——电子邮件地址

ldap——轻型目录拜候协议搜索

file——本地电脑或网上分享的文件

news——Usenet新闻组

gopher——Gopher协议

telnet——Telnet协议

那么，这个URL 有哪些层面可以被黑客改造，导致你去了一个意想不到的地方？也许，我们可以反推一下，不至于着了道。

作为一个连续三次挖掘了chrome 浏览器地址栏漏洞的老司机，徐少培对攻击者可能伪造URL 的手段了如指掌：

1.这些协议在浏览器处理的时候都有可能出现问题。

2.多级域名时，浏览器地址可视空间很小，有可能把主机覆盖掉，而显示前面伪装的多级域名主机。

3.对于端口，目前默认的端口是空，或者是无符号16位。如果超过65535，好比说是10000的浏览器端口，如果是非数字ABCD端口会怎么处理呢？

4.Pathname，就是后面的目录，有可能会伪造成主机。

5.#号后，浏览器格式在字符串时可能会出现问题，

6.用户名和密码部分有可能会伪造成主机。

在了解完URL的各个参数后，徐少培给出了URL Spoof漏洞的详细的定义和说明。地址栏欺骗漏洞，伪造了Web最基本的安适界限，起源(orgin)。

“URL中的任何一个部分，都有可能成为触发地址栏欺骗（URL Spoof）漏洞的攻击向量。”

徐少培说。

好比，上述URL由一个四级域名构成，Pathname的路径伪造成了一个类域名的字符串。