首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Tianao
V2EX  ›  分享发现

微信扫码在特定场景下会在用户无感知的情况下 bypass HTTPS 证书校验

  •  1      
  •   Tianao · 85 天前 · 1543 次点击
    这是一个创建于 85 天前的主题,其中的信息可能已经有所发展或是发生改变。
    通过微信扫一扫扫描一 QR 码(非微信小程序码),该 QR 码编码的内容为 https://商户自有 APEX 域名,服务端呈现的服务器证书的 CN/SAN 均不匹配商户二维码中编码的 FQDN, 微信没有任何阻断、警告或提示,直接丝滑加载 HTTPS 资源继续业务逻辑、拉起小程序。

    反观支付宝:
    安全警告
    该网站的安全证书存在问题,可选择“继续”在浏览器中访问
    [取消] [继续]
  • 微信扫码
  • HTTPS 证书校验
  • 支付宝
    2 条回复    2025-09-11 19:50:46 +08:00
    MossFox
        1
    MossFox  
       85 天前   ❤️ 1
    是说扫描普通二维码打开小程序的这个场景?这种情况下它前置检查如果跟小程序开发者后台配置的规则对上了会直接跳小程序,Web 请求估计是发起都不会发起,所以有没有 SSL 问题都无关紧要(甚至我估计有没有解析都没事)。
    busier
        2
    busier  
       73 天前 via iPhone
    又不是什么值得赞扬的事情
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   842 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:39 · PVG 03:39 · LAX 11:39 · JFK 14:39
    ♥ Do have faith in what you're doing.