我正在尝试弄清楚一个接受OpenID登录的站点如何才能避免被简单的hosts文件更新攻击到指向虚假的OpenID提供商。比如说,我想黑进Joe Smith的账户,而为了举例说明,假设他的OpenID提供商是http://jsmith.myopenid.com。那么,我在我的hosts文件中创建一条条目,将jsmith.myopenid.com指向我控制的IP地址。然后,我会伪造认证,并返回响应,表示用户成功登录。我知道浏览器会出现SSL不匹配警告,但由于这是我的浏览器,我可以轻松地忽略它。请求网站如何知道它收到的响应实际上来自所请求的站点?这似乎是一种基本的攻击方式,我相信站点背后的人已经包含了解决方案,只是我可能没有用正确的术语搜索到答案。