Переадресация без заголовка Location и мета-тега — как это работает?

Question

[Александр Попов]

Допустим, есть некий домен, который выкуплен крупной компанией и выставлен на аукционе, но не используется (для примера, пусть это будет cloudfave.com). Я пишу веб-приложение, где хочу валидировать e-mail адреса не используя внешний сервис полноценной валидации (приблизительно). Соответственно, мне нужен способ чтобы отличить просто зарегистрированный домен от реально функционирующего.

ping совсем не вариант - этот домен прекрасно пингуется. Но когда я открываю его в Chrome, происходит что-то странное. Браузер долго думает, а потом делает редирект на другой домен, при этом нигде в инструментах отладки не видно причины этого редиректа.

Если вместо браузера использовать любой REST клиент, то всё выглядит немного иначе: проходит некоторое время, приходит ответ, но опять же, заголовка Location нигде нет. Вопрос в том, почему Chrome при такой переадресации заменяет содержимое адресной строки. То есть есть некий стандартный механизм определения "реального" домена, на котором мы сейчас находимся, исходя из возвращённого содержимого? Или Chrome использует свои собственные базы припаркованных доменов?

Вот возвращённое содержимое:

Access Denied
You don't have permission to access "http://www.afternic.com/forsale/?" on this server.
Reference #18.2580dd58.1700151768.56f28d9d

Сервер, вернувший этот ответ - openresty, но не думаю, что это имеет значение.

Что я хочу - понять, как хром узнаёт, что мы находимся на другом домене (www.afternic.com), и понять, могу ли я как-то включить такую же логику в свой код на Node JS, чтобы отсеивать такие непроданные домены, чтобы не принимать с них никакие e-mail.

Answer 1

[Daemon23RUS]

Вы не в ту сторону смотрите. Например у меня есть несколько доменов, но на них нет сайтов, и их не попинговать. А почта есть и работает. Делайте запрос DNS на наличие MX записей для домена, можно пойти дальше и проверить наличие и работоспособность mail сервера в возвращенном MX значении. Нет записи, такой домен не принимает письма.
Вот только что даст такая проверка входящих адресов - вопрос.

P.S по заголовку вопроса ответ: Все банально, на основе userAgent cloudfave.com отдает html сo скриптом, скрипт дропает тело html все выглядит пустым. А далее идет "магия JS" и "шаманство с куками" смысл которого, если есть кука отдает реальный код, нет куки - пустышку. В итоге JS locationreload

Comments

[Александр Попов]

Согласен, спасибо за наводку, буду разбираться, как эти записи получить через dns компонент ноды.

Но всё равно мне интересно - что за псевдоредирект такой хитрый, и только в хроме?

[Daemon23RUS]

Александр Попов, Все банально, на основе userAgent cloudfave.com отдает html сo скриптом, скрипт дропает тело html все выглядит пустым. А далее идет "магия JS" и "шаманство с куками" смысл которого, если есть кука отдает реальный код, нет куки - пустышку. Можно в деталях это разобрать, но опять вопрос, зачем ? Практической пользы будет 0, все методы давно известны и задокументированы, никакого чуда там не происходит.

[Александр Попов]

Daemon23RUS, да, я не подумал, что JS может удалить весь DOM. Да, вы правы совершенно, такое возможно. Но есть нюанс: когда я получаю содержимое через Insomnia, никакого JS там нет от слова совсем. И в Хроме его тоже нет (чтобы вы не сказали про проверку User-Agent): достаточно нажать Ctrl+U, придёт то же самое содержимое, что приходит в Insomnia - при нажатии этой комбинации браузер перекачивает контент, а не берёт кэшированную версию).

Так что я всё ещё не понял механизма. А главное - если JS там правда бы был, зачем кому-то его прятать?

[Александр Попов]

Daemon23RUS, кстати, я удалил куки для обоих доменов и обновил вкладку с исходником, чтобы убедиться, что пустое содержимое приходит не из-за кук. Ничего не поменялось.

UPD: поменялось, вы были правы. Я открывал целевой домен, а не исходный. Там действительно есть скрипт. И он ставит куку, в которой содержится некий IP адрес. Вот только у меня есть вопрос, почему это делают через куку, а не отправку HTTP кода или через редирект внутри тега script (например, location.reload)?

[Александр Попов]

Кстати, основную задачу я успешно решил. Есть ещё маленький нюанс: если после символа @ домен выше 2-ого уровня (как например мой провайдер даёт всем адреса формата user@mail.company.net), то перед проверкой MX записей нужно оставить только два уровня, то есть проверять company.net

[Daemon23RUS]

Александр Попов, Игра с куками, 1й раз код есть, 2й раз (кука уже есть) нет кода. Это метод такой защиты от дебага.

[Daemon23RUS]

Александр Попов, на домене 3го уровня и надо проверять MX ибо то, что после @ и есть почтовый домен. И для
some@sub1.site.com
some@sub2.site.com
some@sub3.site.com
some@site.com
будут разные MX записи, сервера могут совпадать, т.е значения MX, а вот MX запись должна быть для каждого варианта, иначе письмо не доставить.

[Daemon23RUS]

Александр Попов,

UPD: поменялось, вы были правы. Я открывал целевой домен, а не исходный. Там действительно есть скрипт. И он ставит куку, в которой содержится некий IP адрес. Вот только у меня есть вопрос, почему это делают через куку, а не отправку HTTP кода или через редирект внутри тега script (например, location.reload)?

по куке сервер может генерить js на лету, а там и будет location.reload(значение из куки)
И нужно это, скорее всего, чтобы один сервер в единой точке выполнял все редиректы.

[Александр Попов]

Daemon23RUS, у меня на домене 3-его уровня почему-то фейлилось как раз, хотя это мой реально существующий почтовый адрес от провайдера.