我把跳转链路追了一遍，我把这种“短链跳转”的链路追完了：它专挑深夜推送，因为你更冲动

每日大赛1372026-04-22 00:00:02

前言深夜的手机屏幕总有种魔力：半梦半醒间，一条短链推送一点开，就可能把你牵到一个连环跳转的世界——页面一定要你授权、下载、输入信息，或者被广告、追踪埋了好几层。最近我顺着几条典型“短链跳转”把整条链路追完，发现它们并非随机闹腾，而是有迹可循、有策略可用时间触发深夜推送。下面把这次“追链”过程、发现的套路、技术细节和可行的防护建议，清晰地写出来，供大家参考。

什么是“短链跳转”，为什么要追它？短链（short link）是把长 URL 压短的一种手段，方便分享，也便于统计。但它的便捷同时让链路变复杂：短链可以嵌入参数、在多个中转域名间跳转、通过 JS 或 meta-refresh 延迟再跳、甚至触发二次请求去生成目标页面。攻击方或数据方利用这一点，把埋点、重定向、设备指纹、时间判定等逻辑塞进链路，最终导向想要的落地页或动作（推送、下载、注册等）。

本次追链的目标很明确：找出为什么这些短链偏偏在深夜推送，并且在你一时冲动点击后更容易完成目标动作。

我怎么追的：技术路线与工具

初步观察：先在手机上把推送的短链复制，粘回桌面浏览器进行分析，避免手机端默认处理干扰结果。
浏览器调试工具：用 Chrome 开发者工具的 Network 面板观察请求序列，开着 Preserve log 和 Disable cache，方便复现跳转链。
curl / HTTP 跟踪：用 curl -v -L 跟随重定向，或 curl -I 查看响应头里的 Location、Set-Cookie、Cache-Control 等关键字段。
抓包代理：用 mitmproxy 或 Burp 捕获 HTTPS 流量，查看请求体、响应体及 JavaScript 发起的二次请求（如 navigator 信息、屏幕分辨率、时区）。
无头浏览器与脚本：用 Puppeteer 或 Playwright 在可控时间下自动加载页面，监测多次跳转、延时执行的脚本行为。
服务器端回放：将可疑短链在不同时间点、不同 IP 段、不同 UA 下回放，评估服务器是否按时间或环境差异化响应。

主要发现：为什么偏爱深夜

时间戳判定：链路里常见参数或服务器端会记录点击时间，并在深夜窗口返回特定落地页版本（例如“限时优惠”“深夜专享”风格），目的是制造紧迫感和冲动消费。某些中转域会根据请求的小时字段（或 cookie/localStorage 的 lastclicktime）判断是否属于“夜间流量”。
情绪驱动设计：深夜用户更容易降低防备，页面设计上采用情绪触发文案（“你运气真好”“仅限今晚”），配合快速跳转到支付/下载页，缩短考虑时间。
分层追踪与投放优化：短链中多层中转用于打上归因标签（渠道、活动ID、子链接）并收集设备信息，广告主据此把不同用户送到不同的变体页面。深夜活跃的用户群被标记为高转化样本后，会被再次针对性推送。
延时执行的 JS：部分页面先加载轻量内容吸引点击，再通过 JS 在短延迟后发起重定向或自动弹窗（如请求通知权限、自动发起下载安装），加大用户在“无思考”时完成动作的概率。
推送链路联动：有些短链并不是单独运作，它们会触发第三方推送平台或 SDK 的事件（通过 JSON 请求、图片像素等方式），把这些深夜点击的数据反馈回广告平台，形成下一轮精准投放。

典型链路示例（简化说明）短链(source) → 中转A（记录渠道、设置 cookie）→ 中转B（设备指纹 + 时间判断）→ 调用广告/推送平台接口（埋入落地页的唯一标识）→ 落地页（深夜版/普通版）→ 弹窗/下载/授权请求

注意：很多链路里会有临时域名、CDN 缓存层、以及看似随机的 302 跳转，这些都是为了躲过简单检测并提高可控性。

风险与后果