微信扫码在特定场景下会在用户无感知的情况下 bypass HTTPS 证书校验

3 天前
 Tianao
通过微信扫一扫扫描一 QR 码(非微信小程序码),该 QR 码编码的内容为 https://商户自有 APEX 域名,服务端呈现的服务器证书的 CN/SAN 均不匹配商户二维码中编码的 FQDN, 微信没有任何阻断、警告或提示,直接丝滑加载 HTTPS 资源继续业务逻辑、拉起小程序。

反观支付宝:
安全警告
该网站的安全证书存在问题,可选择“继续”在浏览器中访问
[取消] [继续]
948 次点击
所在节点    分享发现
1 条回复
MossFox
3 天前
是说扫描普通二维码打开小程序的这个场景?这种情况下它前置检查如果跟小程序开发者后台配置的规则对上了会直接跳小程序,Web 请求估计是发起都不会发起,所以有没有 SSL 问题都无关紧要(甚至我估计有没有解析都没事)。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1155962

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX