从原理讲清楚：91网二维码其实有判断标准，实测给你看

从原理讲清楚：91网二维码其实有判断标准，实测给你看

导语 二维码看起来简单，但背后隐含的跳转链路、参数结构和加密校验规则，决定了它是可信还是可疑。本文以“91网二维码”为例，从原理出发给出一套可操作的判断标准并通过实测演示如何验证——目标是让你能自己分辨真假、降低被欺骗或被劫持的风险。

一、二维码的基本原理（快速理解）

• 二维码本质上承载字符串，多为URL（http/https）、文本或带参数的深度链接（如 app://）。
• 静态二维码把最终目标URL直接编码进去；动态二维码则编码一个短链或ID，扫码后由服务器解析并跳转到真实URL，这样方便统计与更新。
• 判断可信度的关键在于：二维码指向的域名、跳转链路是否被篡改、URL参数是否包含签名或时间戳、传输是否走安全通道（HTTPS）以及最终落地页面是否为期望内容。

二、给91网二维码设定的判断标准 1) 域名与子域名一致性：二维码最终跳转的域名应与91网官方域名及其常见子域名一致，或是官方公告的第三方域名。异常域名或看起来相似但拼写差异的域名要高度警惕。 2) HTTPS 与证书链：优先保证跳转使用HTTPS，证书应由可信CA签发且域名匹配。自签名或证书异常表示风险。 3) 跳转链路长度与短链使用：动态二维码常用短链或中转域名，合理，但连续多次短链重定向或跳出到陌生广告/推广域名为可疑行为。 4) 参数规则与签名校验：正规业务会在URL中带时间戳、用户ID和签名（如 sign=xxx）以防篡改。签名通常是基于固定规则生成（MD5/HMAC 等），通过观察多个同类型二维码参数模式可推测判别规则。 5) 页面内容一致性：落地页应为官方样式、无大量弹窗、无要求安装可疑APP或输入敏感信息的表单。 6) 有效期与一次性策略：一些动态码带过期参数或一次性ID，长期可用的静态码不应泄露敏感功能。

三、实测方法（工具与步骤） 准备工具：手机扫码应用、浏览器开发者工具、curl、openssl、在线短链展开服务（如 unshorten.it 或用 curl -I）以及 whois/SSL 检查工具。 实测步骤（可复用流程）：

1. 扫码但不要立即点击跳转，先看被识别的URL文本（许多扫码器显示完整链接）。
2. 在电脑上用 curl 跟踪重定向：curl -I -L -s -o /dev/null -w "%{urleffective} %{httpcode}\n" "扫码得到的URL"

• 这个命令会返回最终落地URL与HTTP状态码，能看出是否经过多重短链。

1. 检查证书：在浏览器打开最终URL，查看TLS证书颁发者与有效期，或用 openssl s_client -connect host:443 检查证书链。
2. 检查域名历史：用 whois 或在线服务查看域名注册信息和创建时间。近期注册并声称为“官方”的域名需谨慎。
3. 分析URL参数：观察是否包含 ts、uid、sign 等常见字段，记录多个样本对比签名模式是否稳定。
4. 页面内容验证：开发者工具查看页面是否立即注入外链或强制下载，注意弹窗脚本和外部资源域名。 示例演示（模拟）

• 扫码得到短链：http://t.cn/abc123
• 执行 curl 检查：最终跳转到 https://m.91example.com/activity?uid=1001&ts=1670000000&sign=5f4dcc3b5aa765d61d8327deb882cf99
• 检查证书：证书为 Let's Encrypt，域名匹配，注册信息显示为平台关联公司
• 参数模式：多个样本 sign 值长度一致，猜测为 MD5 或 HMAC，且 ts 有效期为 600 秒——这说明站方采用了时间戳+签名来防止篡改或重放

四、常见风险与应对

• 钓鱼跳转：短链跳转到仿站页面，要求登录或输入手机号。应通过查看域名、证书及页面差异拒绝敏感操作。
• 中间注入广告/劫持：落地页被第三方广告中间页绕过。若重定向链过长或出现非官方广告域名，截图并举报域名/短链接提供方。
• 恶意APP下载：二维码诱导安装APK或打开未知协议（intent://）。手机上禁止来源不明安装，尽量在网页内完成操作。
• 签名伪造：若发现参数签名模式被破解，站方需尽快更新签名策略（使用HMAC+密钥轮转、缩短ts有效期、加验证码等）。

五、对站方与用户的建议（操作性强）

• 给站方：对外发布二维码前，为动态二维码加签并限制有效期；对短链服务做白名单；监控落地页面一致性并启用HTTPS强制跳转；定期检查域名注册信息防止仿冒。
• 给普通用户：扫码先看链接、不随意下载未知APP；遇到要求输入敏感信息的页面，用官网渠道核验；多做一步：在电脑上用 curl 或在线短链展开工具确认最终域名。