通过微信扫一扫扫描一 QR 码(非微信小程序码),该 QR 码编码的内容为 https://商户自有 APEX 域名,服务端呈现的服务器证书的 CN/SAN 均不匹配商户二维码中编码的 FQDN, 微信没有任何阻断、警告或提示,直接丝滑加载 HTTPS 资源继续业务逻辑、拉起小程序。反观支付宝:安全警告该网站的安全证书存在问题,可选择“继续”在浏览器中访问 [取消] [继续]
微信扫码在特定场景下会在用户无感知的情况下 bypass HTTPS 证书校验
内容版权声明:除非注明,否则皆为本站原创文章。