一个小设置就能自救，我把这种“云盘链接”的链路追完了：真正的钩子在第二次跳转；一定要关掉这个权限

前言一次普通的微信群文件分享，我点开一个看似“云盘直链”的短链接，链路看起来很短：短链接 → 云盘域名 → 文件。但我把整个请求链追完后发现，真正的“钩子”并不是第一次跳转，而是第二次重定向——在那一跳里，会触发一个会话或权限弹窗，可能把你导向授权、自动在客户端打开、或埋下可以长期访问你云盘的第三方权限。好消息是，有一个小设置可以把这类风险挡掉。下面把我现场复盘的过程、如何检测这种链路、以及一步步的自救操作写清楚，便于人人照做。

一、这种“链路钩子”长什么样常见链路模式（示例化，不代表某一具体服务）：

短链接（短域名） → 第一次 302 跳转到云盘的共享页面（看上去正常） → 第二次 302/303 跳转到一个第三方域名或“open in app / oauth 授权”的页面 → 最终到文件或完成授权。

第二次跳转的危险点：

带上 redirect_uri、state、token 等参数，诱导你确认授权或登录，从而颁发长期访问权限。
触发“open in app”协议（如 mydrive:// 或类似 scheme），把浏览器会话交给本地应用，可能让客户端自动请求更高权限。
跳到打包了追踪脚本的域名，记录来源并在后续用来做社工/钓鱼。

二、如何确认一个链接的真实跳转链（快速、可靠）在桌面上，你可以用两种简单方法查看跳转链：

方法 A：curl（命令行）

命令：curl -I -L --max-redirs 10 "https://短链接"
说明：-I 只看头信息，-L 跟随跳转，--max-redirs 限制跳转层数。观察每一次返回的 Location 头看跳转目标，注意是否出现奇怪域名、oauth、redirect_uri、openinapp 等关键词。

方法 B：浏览器开发者工具（Network）

打开 F12 → Network → 复选 Preserve Log → 点击链接 → 查看所有请求与响应，按顺序查看 302 / 303 的 Location 字段。
重点留意：第二次跳转的目标域名、请求方法（GET/POST）、是否带有 token 或带 fragment (#access_token=…)。

额外工具：在线“链接展开器”、短链解码器、或 URL 检查器（例如 VirusTotal 的 URL 检测）也能帮助快速判断可疑跳转。

三、常见“权限”与你应该关闭的设置（核心操作）在很多情况下，最直接的自救是关掉“第三方应用或链接可以直接访问你云盘”的权限。不同服务的措辞不完全一样，但思路一致——撤销或关闭能让第三方长期访问你文件的权限。

1) Google Drive（示例）

在 Google 账户安全页面查看“第三方访问权限”（Apps with access to your account）并撤销不熟悉的应用。
Drive 分享设置里，确保默认不是“Anyone with the link”（任何有链接的人），改成“Restricted”（仅受邀者）。
在共享高级设置中，关闭“编辑者可以更改权限并分享”之类的开关，防止有人拿到编辑权后转发或升级权限。
在 OAuth 同意屏（Security → Manage third-party access）里定期清理。

2) OneDrive / Dropbox / 国内云盘（通用）

账户安全里找“已连接的应用 / 已授权的第三方”，撤销不需要或陌生的项。
共享链接默认权限选“仅查看”而非“编辑”，并尽量设过期时间和密码。
关闭自动从浏览器打开本地客户端之类的选项（浏览器或云盘设置中的“打开客户端”）。

3) 浏览器与系统级设置

阻止弹窗与自动打开外部协议（例如在浏览器里管理外部协议处理，不允许未经确认就用本地应用打开 mydrive:// 之类）。
禁用第三方 Cookie 或在隐私插件中拦截重定向跟踪（uBlock Origin、Privacy Badger）。
手机上，避免点击能直接跳转到本地应用的“打开App”按钮，先选择“在浏览器中查看”。

四、点击前、点击中、点击后：实用防护清单（快速操作）点击前：

把短链先用展开器或 curl 查看一次重定向。
若来自不熟悉的来源，先复制链接到文本编辑器或用在线检查工具检查域名信誉。

点击中（已打开页面时）：

观察是否弹出授权/登录请求，尤其是要求“允许访问 Google Drive 的所有文件”之类的广泛权限。遇到这类权限，关闭页面并撤回任何意外授权。
不要直接点击“在应用中打开”或“使用XXX登录并授权”，除非完全信任该应用。

点击后（若已授权或意外打开）：

立即登录到对应云盘的安全页面，撤销可疑应用的权限。
更改受影响文件的分享权限（把“任何有链接可查看/编辑”改成受限）。
若怀疑凭证泄露，换密码、开启二步验证（2FA）。

五、为什么“第二次跳转”更危险（简短解释）第一次跳转通常只是短链到目标域名的常规迁移；第二次跳转往往用于处理“会话建立/授权/协议处理”等逻辑，例如把你从浏览器引导到 OAuth 同意页、或触发一个 open-in-app 协议。攻击者可以把关键参数放在这次跳转里，诱导用户在不清楚后果的情况下给予长期权限或让客户端进行后续交互。因此，把注意力放在“第二次跳转去哪里”往往能发现隐藏的钩子。

六、额外建议（提高整体安全）

最小权限原则：给第三方应用只授予完成任务所需的最低权限；对外链设“仅查看+密码+过期”。
日常清理：每隔一段时间检查一次“已授权的应用”和“共享的文件/文件夹”。
养成习惯：收到云盘链接优先“预览”而非直接“打开并允许”，在手机上尽量用浏览器预览而不跳到本地客户端。
备份与日志：重要文件开启版本控制与本地备份，发生误授权时能恢复。

结语链接看起来简单，但跳转链上的那一次“中转”往往是攻防的关键。把“第三方访问”、“自动打开本地应用”、和“广泛的 OAuth 权限”这类设置关掉或收紧，往往能把很多问题彻底拦截在门外。花两分钟检测跳转链，花一两步关掉多余权限，你就把别人用来长期访问你云盘的钩子给剪断了。照着上面的检查步骤做一遍，你会看到实际能防住多少麻烦。