你以为是广告，其实是探针，我把这种“二维码海报”的链路追完了：真正的钩子其实在第二次跳转

你以为是广告，其实是探针，我把这种“二维码海报”的链路追完了：真正的钩子其实在第二次跳转

最近在地铁站、商场、电梯间看到的一类“二维码海报”越来越多：看上去像普通广告，扫码之后先弹出一个干净的页面或短链接，再一次跳转就把你带进了一个完全不同的场景——领券、抽奖、下载、加群。表面上是用户引导，实际是用一套多次跳转的链路在做“探针”——测量、筛选、分层、再投放真正的钩子。下面把我实测追踪到的链路流程、背后的技术和营销逻辑，以及普通用户和站方能做的检测与应对方法，给你梳理清楚。

一、典型链路拆解（实测示例）

1. 海报上的二维码 -> 扫描得到的短链

• 二维码通常直接编码短链（如 t.cn / bit.ly / 自建短域名），这是为了节省海报空间和便于统计。

1. 第一次跳转：短链解析到“探针页”/追踪域

• 302/301 重定向到追踪域（tracking.example.com），URL 带上多种参数：aid、cid、clickid、device_id、geo、ts 等。
• 服务器在响应头里写入 cookie 或返回一个临时 token，同时记录 User-Agent、IP、Referer（二维码来源可以被伪造或标注）等信息。

1. 第二次跳转：条件分流、个性化内容或深层链接

• 追踪域根据刚采集的数据做判定：是否为机器人、是否为重复访问、设备类型、地理位置、时间段、是否来自某批次海报等。
• 满足条件的用户被直接“钩”到转化页（领券、注册弹窗、APP 启动链接）；不满足的可能被带到普通宣传页或继续被二次追踪。

1. 最终落地页 & 后续追踪

• 最终落地页会继续携带标识参数，可能触发埋点事件、短信/微信/小程序授权窗口、或者拉起第三方应用商店。

二、为什么要这么做？“探针”背后的目的

• 离线触达归因：把线下曝光和线上行为关联起来（哪个海报/位置更有效）。
• 人群分层：通过第一次采集设备/行为数据，把高价值人群与低价值人群分开，再分别投放不同的激励。
• 防刷与反作弊：先把访问者打分，过滤掉自动化扫描和低质量流量，保存预算。
• 动态创意与A/B：实时切换落地内容，提高转化率。
• 数据沉淀：持续积累对用户的设备指纹和行为模型，供后续定向投放使用。

三、技术细节（可实测的点）

• 抓包与跟踪：使用 curl -I -L 查看每一步的 301/302 响应；观察 Set-Cookie、Location、Cache-Control 等头部。 示例： curl -I -L 'https://短域名/abc123'
• URL 参数常见字段：clickid、subid、tid、affid、utmsource、device_id、uid、geo、ts、sig。
• 指纹手段：服务器端结合 IP + UA，客户端可能通过 JS 收集屏幕分辨率、字体、Canvas 指纹等。
• 深度链接：iOS/Android 的 URI scheme 或 Universal Links/App Links 用于直接唤起 App 或将用户导向应用商店。

四、如何识别与保护自己（用户视角）

• 扫码前看清短链域名，若是陌生短链可先用链接解析服务或二维码扫描器的“预览”功能查看真实地址。
• 使用带有扩展信息的扫码工具（显示最终域名、是否安全、是否包含第三方追踪参数）。
• 禁用自动重定向：部分浏览器或安全工具允许阻止自动跳转，以便你查看第一次响应的 Location。
• 避免在不信任环境下授权短信/通讯录/支付权限；遇到要求立即输入手机号、验证码、扫描登录的窗口要谨慎。
• 若反复看到相同海报且每次体验不同，说明其正在采集数据并分层投放，选择不参与可以减少被追踪的机会。

五、对站方与广告主的建议（透明与合规）

• 清晰标注数据用途：线下到线上归因可以做，但应告知用户会采集哪些数据并取得必要同意。
• 将体验和数据收集分层：对高频采集做技术与法律审查，避免过度指纹化与回溯个人隐私。
• 设计更友好的二跳体验：第一次跳转可明确提示“正在优化展示，根据设备为你定制内容”，增加信任感并降低流失。
• 遵守相关广告与隐私法规：跨境或面向敏感人群的投放尤其要注意合规风险。

六、实践小工具与操作流程（供技术同好复现）

• 用 Chrome 开发者工具或 Charles/mitmproxy 抓手机扫码后的请求链。
• curl 跟踪示例： curl -I -L 'https://短域名/xyz' 观察每一步返回的 HTTP 状态码、Location、Set-Cookie。
• 在本地搭建一个简单追踪端点，模拟带参数的重定向逻辑，查看分流规则如何影响最终落地。

结语 这些二维码海报的第一眼体验往往像“免费礼品”，但链路设计里藏着复杂的探针逻辑：先采集、再判断、最后下钩。对普通用户而言，多一点警觉、多一重验证，就能少掉很多被动参与的概率；对从业者而言，透明与合规不仅是法律问题，也直接关系到长期品牌信任。下次再看到“扫码领礼”的海报，别只看它给你的当下利益，留意那条你看不到的链路——真正的钩子可能在第二次跳。