别只盯着云体育入口像不像，真正要看的是页面脚本和安装权限提示

导读：

别只盯着云体育入口像不像，真正要看的是页面脚本和安装权限提示为什么外观不能当做唯一依据页面风格、图片、文字都能被轻易复制，但脚本是实际在运行的代码，能悄悄下载、...

为什么外观不能当做唯一依据

如何快速检查网页脚本（适合非程序员的操作）

查看页面源代码：在浏览器按 Ctrl/Cmd+U，或右键“查看页面源代码”。重点看是否有大量不可读的长字符串（base64）、eval/Function调用或大量被混淆的脚本。
用开发者工具观察网络请求：按 F12 打开 DevTools，切到 Network（网络）。分析页面加载时都向哪些域名请求资源，是否有可疑的第三方域名、未知的下载链接或频繁跨域请求。
关注自动触发的下载或重定向：若页面一打开就开始弹窗、跳转或下载文件，警惕性要提高。
注意权限相关 API 的调用：脚本中调用 getUserMedia（摄像头/麦克风）、geolocation（定位）、Notification、Service Worker 注册或自动安装脚本时，要留心这些行为是否合理。
借助在线/扩展工具：用 VirusTotal 扫描 URL、用 Sucuri/SiteCheck 检测恶意标记；安装 uBlock Origin、NoScript 或 ScriptSafe 来阻止并观察哪些脚本被拦截。

如何判断安装包或安装提示是否安全（Android/iOS）

优先来源：优先通过 Google Play 或 App Store 下载官方应用。同名域名或文件分享站的 APK 要格外小心。
检查开发者信息与签名：Play 商店页面有开发者名称、包名、下载量、评论；第三方 APK 可在 APKMirror 等可信站点核对签名。使用 APK Info、aapt 等工具查看 AndroidManifest 中的权限声明和签名信息。
高危权限要格外注意：Device Admin（设备管理）、Accessibility（无障碍服务）、SENDSMS/RECEIVESMS、READCONTACTS、READCALLLOG、SYSTEMALERTWINDOW（悬浮窗/覆盖其他应用）、REQUESTINSTALL_PACKAGES（允许安装其他应用）等，若与应用功能不匹配，应拒绝或不安装。
iOS 的企业描述文件和企业签名提示：若要求安装“描述文件”或通过企业签名绕过 App Store，上线来源不明时风险极高。建议只通过官方渠道或 TestFlight 安装企业内测应用。
安装过程中的特殊提示：注意系统弹出的安装来源提示（如“允许来自此来源的安装”），不要随意打开“未知来源”或“允许安装未知应用”的开关。

实用的核查清单（浏览器/网页）