在 X/Twitter 上，安全如果网站已经按照开发者规范要求在网页源代码里添加了标头等数据，系统则这个网站的似乎任何地址发布到 X 上时，都会额外显示网站域名以及图片等数据。存漏

要实现此功能 X 的冒充爬虫需要在用户发布内容时第一时间对目标链接进行抓取，如果抓取无法那就可以显示完整信息，任意并且后续变更后已经被抓取的知名数据也不会变更。

于是网站网这就产生了一个安全问题：有诈骗者在 X 上冒充知名新闻网站福布斯发布加密货币相关的内容，吸引币圈用户加入他们的发帖社群，然后操作一些垃圾币来收割。蓝点

从下图中我们可以看到这种恶意利用的安全流程：

诈骗者在服务器上进行了 HTTP 302 临时重定向，当检测到不同的系统 UserAgent 时，可以返回不同的似乎临时重定向地址。

其中第一个测试截图是存漏不使用任何浏览器 UA 的情况下，模拟 X 爬虫系统进行抓取 (实际上 X 有爬虫，冒充叫做 TwitterBot，但没有其他 UA 信息，见结尾附注 1)，此时诈骗网站没有检测到有效的浏览器 UA，于是返回了福布斯网站的一个链接。

于是 X 会在推文发布后将其标注为来自福布斯网站。

第二个测试截图在附带浏览器 UA 的情况下，可以看到这个诈骗网站返回了他们的目标地址，那就是那个社群。

而用户正常点击链接那肯定是附带浏览器 UA 信息的，所以实际上点击都是返回社群地址，第一种情况仅仅只是用来迷惑 X 的爬虫。

值得注意的是，这种情况并不是现在才发生的，至少从去年 8 月开始已经有诈骗者使用这种方法进行钓鱼，不过至今 X 也没有解决这类问题。

附注 1：

X/Twitter 爬虫的完整信息：TwitterBot/1.0

• ·植物球吃僵尸！《球球大年夜做战》x《植物大年夜战僵尸2》联动开启！
• ·《奥秘海疆》齐球票房破3亿好圆 海内面映支成805万元
• ·世界上最顽强的物种！美国死亡谷国家公园魔鬼洞鱂鱼（魔鱂）能在恶劣环境下繁衍5万年
• ·众神之王护佑冒险前止 《创世对决》本日震惊开测
• ·虚幻5悬疑冒险游戏《无人愿死》开场45分钟实机演示公布
• ·坦桑尼亚塞伦盖提国家公园摄影师拍到极为罕见的“金毛”局部白化症斑马
• ·早报：Take Two筹办大年夜牌绝做战新IP 《灭亡停顿》Steam热销
• ·《逝世或逝世：维纳斯假期》迎新角色 奥秘女神没有露脸
• ·开放世界RPG《Cliche》上线Steam预定于8月正式发行
• ·残局一条鲲 《蛮横人大年夜做战》坤鲲保举攻略
• ·更新：《宝可梦剑盾》M站均分81分 媒体多数好评
• ·智能耳机找到发展新契机 AI成入口之争重点
• ·《三国杀名将传》新汉将流萤张星彩于耀夜退场
• ·《恋舞OL》梦境足持梦之魔杖 夏季邪术
• ·南非鲨鱼专家Mia Vorster在Aliwal Shoal水域拍摄到黑鳍鲨似正在吞食另一头鲨鱼
• ·《云裳羽衣》齐新PV尾曝， 6月27日没有删档测试