Se capisco la tua domanda, hai un server proxy che blocca l'accesso a Internet finché l'utente non si è autenticato. Con "blocchi" intendo: se il tuo proxy riceve una richiesta di link , falsificherà l'host richiesto (google.com) e restituirà un reindirizzamento 302 intestazione a una pagina di accesso che è ospitata sul proxy stesso. Questo è uno schema molto comune che può essere trovato nel wifi pubblico in McDondald's, Starbucks, ecc. Ed è anche piuttosto comune nelle impostazioni aziendali.
Il problema con questo è ovviamente lo spoofing. Lo spoofing di google.com causerà un errore di cert, sebbene (fino a poco tempo fa) l'utente potesse fare clic. L'introduzione di HSTS ora rende impossibile aggirare l'errore cert e passare alla pagina di accesso del proxy, e c'è poco un utente finale può fare per sovrascriverlo.
Come utente finale, ho riscontrato questo problema come un problema sempre più recente. Il modo in cui l'ho affrontato come utente finale è navigare in un sito che non ha HSTS (ad esempio CNN.com) o navigare per IP (ad esempio http://192.168.0.1
). Anche questi verranno intercettati dal proxy ma posso aggirare eventuali errori di cert.
Credo che il modo "corretto" per un server proxy di richiedere l'autenticazione non sia con un reindirizzamento 302 ma con un HTTP 407 Status Code che significa" richiesta l'autenticazione proxy ". Il proxy dovrebbe rispondere con questa intestazione invece del reindirizzamento 302. Il browser dovrebbe sapere come interpretare l'HTTP 407 e presentare un dialogo appropriato per la raccolta di nome utente e password.
Seconda opzione .... Se si tratta di una rete aziendale e si è in grado di spingere i criteri di gruppo, è possibile utilizzarla per imposta la home page del browser sulla pagina di login del proxy, eliminando così la necessità di reindirizzamenti.