Você chegou aqui a partir de um link legítimo em https://account.vesync.com
(domínio real da VeSync), mas o open redirect (VS-045) te jogou para esta página, que é
controlada pelo atacante. O host desta página apenas contém a string vesync.com,
o que basta para enganar o validador fraco (hostname.includes("vesync.com")).
Esta demo é 100% inofensiva: ela apenas verifica com typeof se a
ponte JS do app está presente — não chama getGlobalParam(), não lê token,
não envia nada para lugar nenhum. É só ilustração do risco.