拼多多是怎么做到分享的助力链接域名不是自己的呢？

多多很厉害,这么不讲道理的吗

第一个重定向了，第二个看不到

是不是收买了 CDN

.只需要上传一张图片，引导用户复制链接、打开拼多多
.任何可以上传图片的图床，都可以被他拿去当成口令（链接=口令）
.App 取用户的复制链接，根据链接找找是不是口令，是的话就打开对应页面

微信封的话，是封这些图床地址 /服务，跟拼多多彻底无关联。

这也太离谱了

@huohei 第 2 个直接点是 403 ，但是复制链接到输入框回车能正常访问

这流氓到底了

总能从作恶中了解到技术到底有多么先进
工程实现有多么厉害

@Exdui 哈哈哈，拼夕夕这个操作秀啊，到时候因为用户举报或者微信封禁，等高德和联通发现这个情况的时候，那就好玩了呀，又有瓜吃了，你说高德和联通会不会告拼夕夕，哈哈哈

@xiaodongxier 个人想法：第一个是拼多多滥用了高德的短链接，第二个应该是滥用了联通的图床？

隔壁 loc 论坛的用户经常滥用这些大厂图床、文件床做灰*产站，估计入职 pd*d 了？

微信逼得

#4

大家说说这操作和 CSDN 关注公众号获取验证码哪个更牛逼一点

我草，这牛逼了。这属于灰产吧。

太秀了，后台就是硬，公然玩灰产。

玩的真花

这是多多 APP 直接生成的？还是推广者个人行为？

@docx 肯定是拼夕夕直接生成的。他家玩法没有下限。

https://u.163.com/a/7rGh2Zguj

还有 163 的短链接。上个月家里人说有人给他发了个拼多多助力的链接，不知道是不是诈骗的。我打开一看源站是网易的，重定向到了腾讯云的对象存储落地，我找了很久也没找到网易哪里提供了生成这样的短 url 的途径。

我感觉这是黑灰产几乎一样的推广套路，利用大厂的开放重定向，只是最后的落地的页面不是菠菜类的诈骗，是砍一刀了。
```
curl https://u.163.com/a/7rGh2Zguj -I --http1.1
HTTP/1.1 302
Server: nginx
Date: Mon, 17 Oct 2022 11:53:57 GMT
Connection: keep-alive
Location: https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com
X-Cache: from ngx70-194.163.com

```
快照: https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/

上次还见到过用知乎的跳转的…

牛。。。。

先生成引导引导用户复制链接的图片传到各云厂商的 oss, 链接上关联上一个分享 token. 再把这个 oss 链接给到各短链服务商生成短链, 给到用户分享.
那这样看, pdd 有一个 oss 聚合平台, 有一个短链聚合平台, 自己不做短链, 直接聚合世面的短链就行了?

乱世出英雄，我以前做淘客封链接封的厉害时也这么搞过

下午刚帮人助力了一下，连接是华为 vmall 商城的域名，点进去是阿里云的网址，复制链接打开拼多多就助力了，pdd 玩的可真花

别人家的链接

相当于他的口令

再用别人的图传 API 传图片生成短连接吗？

这操作真骚

没想到大厂也敢这么玩，没下限

pdd 真会玩

虽然很缺德很过分，但是一想到是张小龙他妈逼的，又觉得很合理了...

几天前见过利用腾讯文档...文档里面插了个链接....pdd 这执行力谁敢信...

@Les1ie OP 贴的第一个不就是重定向到了腾讯云的 COS 吗

做这个的程序员最后不会背锅吧。

有些不明白，如果是作为 token 要复制后打开 pdd 才能用，为什么不直接弄个普通链接就好，而一定要用短链接呢？

@snw 微信对每个域名链接发送次数有限制

长见识了。。。。

@Seulgi 不需要引导，拼多多直接在后面上传一个图片，把这个图片的链接关联 token ， 给用户分享

微信的消息预览掩盖了自由世界的“域名”，所以消息发送和接收方一般不注意域名

还有这种骚操作，我艹

@ly841000 什么限制？

真牛逼

@snw 降低被直接秒杀的概率，之前他们也有直接用普通链接的，估计被微信识破了。

有点没下限, 蹲个坑 看后续

首先需要确认这是官方行为还是刷佣的淘宝客干的。

不太用拼多多，楼主说的这种链接是从你普通非技术的朋友那里发来的，并且是为非技术的朋友本人助力的吗？
如果是，那么就可以确定是拼多多的官方行为

还有这种骚操作

nb

微信和 PDD 互秀下限

能开源不， 有朋友需要。

但是各家短链服务、图床不是都要收费的吗？这不是成本吗

为什么第二个链接直接打开是 403 ，但复制粘贴又能访问？啥原理？我蒙了

看链接的内容没看出直接关联。

我想到的方案是利用 URL 的最后一段，用特殊方法编码跟踪 ID ，客户端通过剪贴板得到 URL 后尝试解码出跟踪 ID 。这样即使整个 URL 是无效的也不影响分享，如果无法控制白名单地址显示的内容就最好是构造成非法地址避免意外跳转。
不过感觉这个方案似乎没有比淘口令那种好多少。

@edis0n0 #11 也有可能是他们人逛 loc 看到了吧。之前在 loc 还是哪见过 gov cn 的图床，太会玩了

法外之地拼多多，反正也没人管，也没规定

@PqZS58MLPBHFpEqm 设置了 Referer 白名单，但又允许了空 Referer 访问，就这原理。从 V2 打开 Referer 是 v2ex.com ，不在白名单内所以是 403 ，你复制粘贴后是空 Referer 访问，如果允许空 Referer 访问所以就可以打开了，也不用复制粘贴重新打开，你在地址栏敲下回车就行了。

@PqZS58MLPBHFpEqm 可能是 Referer Header

不喜欢拼多多，但拼多多就好像淘宝京东的一杆尺子

第二个好牛逼，怎么实现的

用图床传推广图,推广图链接到 openinstall 这种无码邀请提供商然后跳转出微信下载 app,全程不与自家 app 或者域名关联完全封不掉
提供一个技术关键字可能跟这个不太相关,微信落地页域名防封

@sadfQED2 csdn 可以获取其他公众号验证码？

微 多 大 战

都是小而美逼的

这应该是 XSS ，拼多多把他们的 html 传到其他站，然后修改 dom 显示自己的内容，将其他站作为入口域名，将 oss 等 cdn 作为落地页域名。

滥用其他人的服务然后被举报就说是用户个人行为，反正你也不能到我公司来查

@PqZS58MLPBHFpEqm #48 我猜测就是校验了一下请求的头信息里面的 Referer 字段

我以为微信和拼多多一伙的呢，微信那里不就是有拼多多的推广，为啥还要这么搞呢

之前发现了这个问题，当时就特好奇

奇怪的知识增加了

都是腾讯逼的。
我遇到一个情况：在微信群里分享的抖音加群口令（纯文本）消息，手机上长按后是没有复制 /转发选项的，只能登录微信 PC 版进行复制，然后通过微信文件助手转发给手机，在复制到抖音。
https://s1.ax1x.com/2022/10/18/xrkThD.png
https://s1.ax1x.com/2022/10/18/xrkqcd.png
https://s1.ax1x.com/2022/10/18/xrkXnI.png

问问哪家手机厂商没有被拼洗洗黑灰产搞过，以前拼洗洗安全总监弗兰克就是拒绝攻击厂商，被解雇了，自己可以网上搜搜，拼洗洗就是靠黑灰产发家致富的

这让我想起了把文件分块编码成图片然后上传到 B 站 CDN ，把 B 站当网盘的骚操作了

甚至还有企鹅家的 https://docs.qq.com/doc/DTE1VQm9WTEpmdW5r?6F135508=ZTmCD7XgOE2xYQ

@yuzo555 普通非技术的朋友发的，并且是非技术的朋友本人助力的，之前也有这种情况当时以为是拼多多第三方合作实现的？可是现在想想微信封禁那么严格难道第三方就不怕被封？所以很好奇如果是第三方合作，第三方是怎么想的？如果不是合作，那么拼多多是怎么做到的？难道第三方不知道？

@luhe 单纯封 PDD 来说，我只能说封的好。

@yuzo555 #42 拼多多官方的行为，这些链接都是从主 App 复制出来的；第三方推广都是推商品、会场页面，不会推助力的。

公然玩灰产套路的“大厂”

@ersic 哪个星球来的？淘宝京东不是一样封？

剪切板属实让 PDD 玩儿明白了

只能用魔法战胜魔法

@thetbw #63
反过来说明微信对防止出现过度营销、诱导分享等场景还是做的可以的，要不然不会逼得 pdd 这么搞。
之前不是疯起来腾讯自家的公众号都封。

https://web.archive.org/web/20221017114858/https://786cltji-1311493595.cos-website.ap-nanjing.myqcloud.com/

右键查看源码灰色无法点击，源码加密，有谁能解开？啥加密方式啊

我擦，居然是图片源码，牛逼

学习了

思路清奇

@xx3122 #78 没什么源码、代码，就单纯一张引导图片，任何可以放图片的网页，他都可以拿去当作口令。

我擦，还能这样。。真是毒瘤

养蛊养蛊

还有更骚的 https://www.v2ex.com/t/875546

PDD 还是骚啊

哎，国内这环境，好好的技术不钻研，工程精力全拿去钻研黑灰产👍

魔鬼大乱斗

PDD 这个真的一下子拓宽了视野啊。

原因以为是产品没有下限,现在看来技术也不要脸了

都是魔法

@PqZS58MLPBHFpEqm 直接打开 403 是因为请求头添加了 "Referer", 告诉后台该请求是从哪个页面链接过来的，应该是后台做了防盗链的处理。

@guodongbin 这个什么原理？？？

算是学到了，为什么没人做一个类似的服务，提供给很多其他行业呢。

pdd 真牛逼啊

又一次刷新认知了 pdd 真的是恶心

@7zlid 小时候觉得科技改变生活，现在觉得是以坑人为本

@vone 新版知乎客户端也没有了复制选项

@snw 我也不明白，作为 token 的话为啥必须用链接？一段字符串不行吗？

前两天看到 cloud.huawei.com 开头的 pdd 分享链接