管易
E 店宝
等等
可以去 TMALL 或 JD 的应用市场看下的

控制面板->用户账户->用户账户->更改我的环境变量

中行信或航司都有可能

搜到了这个 http://www.ghacks.net/2012/02/18/chrome-connecting-to-random-domains-on-start-here-is-why/

我用 fiddler 也发现了这个
应该不是劫持
我原本猜想是手机上哪个 app 调用的呢（类似之前百度地图 sdk 那样在本地启动了 http 服务），如果 lz 没有抓手机的包，那就排除了这种情况

楼主的想法确实没错。
另外 CORS 在发添加自定义 header 的请求前会发送预检请求（ options ），如果服务端不对预检请求做正确响应，那么 CORS 的自定义 header 是无法发出的。
flash 的跨域，如果我没有记错的话， 1.域名下的 crossdomain.xml 中别随便授权域
2.本域和 crossdomain.xml 中授权的域下别随便放网上找到 swf 文件
3.本域和 crossdomain.xml 中授权的域下别随便允许上传文件(非 swf 的也不能允许，如果因业务必须允许，那需要做一些其他的操作，就不详述了)
做好以上 3 点，应该就 ok 了
ps ：从回帖看 v2 上好多人都没完全理解 csrf

@Ansonyi pm hidden package

赞

如果应用内直接保存数据库的用户名密码，攻击者拿到后可以直连数据库进行操作，你能做的只是针对 app 内内置的数据库账号做一些权限限制
如果通过 api 方式，你可以在 api 里限制单用户可获取到的数据内容和范围，即使是被抓包重发，攻击者也只是能拿到自己账号下的数据(api 如果存在越权或注入另说)

@happilylb 那个就是用的 pm 命令禁用的

会不会是 pm 中做了判断？可以试着用旧版替换下

照出来的效果跟单“返”效果一样
如果真是 HW 整的，会有这种错别字吗？

@7654 商祥页也是支持 https 的，你那边没加载出来的原因可能是运营商对部分域名做了 dns 劫持

这邮件发出来说明已经有 N 多亚马逊用户被这样骗了。

上 Content Security Policy 即可

@deepout 会“闹”的孩子有糖吃

@csdreamdong 你的二维码亮出来让商家扫就是你确认支付的行为