你们问的那个点我求证到了：关于91视频分流页面，你们问的那个点我终于解释清楚

你们问的那个点我求证到了：关于91视频分流页面，你们问的那个点我终于解释清楚

前言 最近大家反复在私信和评论里问的那个点，我亲自去做了追查和验证，把过程和结论整理成这篇文章，直接给出能上手检查和应对的要点。本文目标是把技术细节讲清楚、把风险说明白，并给出可执行的排查与防护建议。

背景回顾：大家在问什么 很多人看到的是“91视频”的分流页面行为：打开一个页面后，会被重定向到多个不同域名，或页面出现短暂跳转、广告插页、参数不断变化等现象。大家最关心的是两点：一是这种分流到底是怎么实现的（技术上如何判断来源和去向）；二是它是否带来风险（隐私、恶意脚本、钓鱼或流量作弊）。我把这两点作为验证目标。

我怎么验证的（方法与样本）

• 抓包分析：使用 curl、Fiddler、Wireshark 和浏览器开发者工具对请求链做逐跳抓包，记录响应头、重定向链、Set-Cookie、Location、脚本加载等。
• 自动化回放：用无头浏览器（Selenium）在不同 UA、不同 Referer 和不同地理 IP 环境下回放，观察行为差异。
• DNS 与 whois：核对域名解析记录、TTL、CNAME 链及可能的 CDN 节点。
• 文件与代码扫描：对可访问的页面源码和加载的外部脚本进行静态扫描，查找可疑的 eval、document.write、iframe 创建或动态脚本插入。
• 日志对比（针对网站运营方）：检查服务器访问日志与后端响应日志，定位异常请求来源与响应时间。

核心发现（结论版）

• 分流主要由前端脚本控制，结合服务器端配置实现条件化跳转。也就是说既有客户端逻辑（JS 判断 UA、Referer、时间、随机因子），也有服务器端根据请求头或参数返回不同 Location 的重定向。
• 典型手法包括：meta refresh、301/302 跳转、动态插入 iframe、异步加载外链脚本再执行跳转逻辑，以及通过短链/跳转中转域名隐藏最终目的地。
• 分流行为常伴随带参数的追踪（affiliate、campaign、clickid），如果遇到大量第三方域名调用，可能存在流量变现或广告中介介入的情况。
• 在部分样本中发现有加载从第三方服务器下发的脚本，脚本会尝试读取本地存储（localStorage）、设置或读取 cookie、并对 UA/referrer 做进一步分支。这类脚本如果由不可信来源提供，存在隐私外泄或注入恶意代码的风险。
• 地理、UA、Referer 对分流结果影响明显：不同地区或不同浏览器/移动设备会被分到不同的着陆页，说明后端或中间服务做了策略化投放。

对普通用户的建议（能立刻做的事）

• 遇到反复跳转或不明中转域名，立刻关闭页面，避免继续交互或下载任何内容。
• 浏览器开启阻止第三方 Cookie 与跨站点追踪；使用广告拦截器（uBlock Origin、AdGuard 等）可以阻断大部分自动跳转脚本。
• 不要随意点击来源可疑的短链接或未核实的分享链接。若需确认，可先用在线 URL 扫描服务检测。
• 若担心隐私，可清理浏览器缓存和 cookie，或在无痕/隐身模式下打开可疑链接查看行为（仅用于审查，不做个人信息输入）。

对站长/运营者的建议（排查与修复步骤）

• 检查近期变更：回顾最近的插件、第三方脚本、CDN 或变更部署记录，优先排查新增或未授权的外链脚本。
• 检查服务器响应链：用 curl -I 查看响应头，定位是服务器端返回 3xx 导致，还是页面内脚本触发。示例：curl -I -L -A "Mozilla/5.0" "目标URL"
• 审核外部脚本来源：将所有外部脚本白名单化，若发现未知域名请求，立即隔离并回滚相关引入。
• 强化访问控制：对管理后台、上传目录、可执行脚本目录做更严格权限控制；定期扫描可疑文件和新建脚本。
• 使用内容安全策略（CSP）：通过 CSP 限制可加载资源的域名，降低被第三方脚本注入的风险。
• 日志告警与流量监控：对异常短时间内大量重定向、参数异常或特定 UA 的突增设置告警，快速响应。

如何自己判断“分流是否正常”

• 查看跳转链：在开发者工具 Network 面板或抓包工具中，跟踪 Location/Set-Cookie/Referer，若第一跳就是服务器 3xx，倾向后端配置；若是 200 页面中载入脚本后触发跳转，属于前端脚本控制。
• 暴露域名对比：若真正的内容位于与展示域名明显不同的域，且存在多个中转短域，需谨慎。
• 检查脚本签名和变更时间：对重要资源做哈希校验，发现变更应立即审查来源。