域前置

对手可能会利用内容分发网络 (CDN) 和其他托管多个域的服务中的路由方案来混淆 HTTPS 流量或通过 HTTPS 隧道传输的流量的预期目的地。(引用: Fifield Blocking Resistent Communication through domain fronting 2015) 域前置涉及在 TLS 头的 SNI 字段和 HTTP 头的 Host 字段中使用不同的域名。如果两个域都由同一个 CDN 提供服务，那么 CDN 可能会在解包 TLS 头后将流量路由到 HTTP 头中指定的地址。一种变体技术“无域前置”使用空白的 SNI 字段；这可能允许前置工作，即使 CDN 尝试验证 SNI 和 HTTP Host 字段是否匹配（如果忽略空白 SNI 字段）。 例如，如果 domain-x 和 domain-y 是同一个 CDN 的客户，则可以在 TLS 头中放置 domain-x，在 HTTP 头中放置 domain-y。流量看起来是去往 domain-x，但 CDN 可能会将其路由到 domain-y。