别只盯着爱游戏官网像不像，真正要看的是页面脚本和证书

现在很多仿冒网站做得越来越像真站：界面、logo、文案都能复制得几乎一模一样。只靠“看起来像不像”来判断真伪已经远远不够。更可靠的做法是检查页面的脚本行为和网站的证书信息——两者能揭示站点背后真实的控制者与风险。下面把实用的检查方法和应对建议汇总成一份清单，既适合普通用户快速核验，也提供给有一定技术背景的人做深度排查。

为什么要看脚本和证书

界面可以被复制，但证书和脚本的运行环境、签发主体、请求目标往往暴露出差异。
假站常通过外部脚本、第三方表单或隐藏的请求窃取登录信息、注入恶意代码或绕过浏览器限制。
证书能告诉你网站的域名是否绑定正确、证书是否由受信任机构签发、是否过期或域名与证书不匹配。

普通用户的快速核验（几步就能做）

看地址栏：确认域名完全正确（不是相近的拼写或多余子域）。别被子域或前缀骗了（例如 example.com 与 example.login.com 不同）。
点击锁形图标：查看证书的基本信息（是否有效、颁发机构、有效期）。若显示“不安全”或证书错误，不要输入账号或支付信息。
检查页面是否有异常弹窗或强制下载提示：正规服务不会在登录时强制你下载可执行文件。
使用书签或手动输入地址访问官方站点，避免通过来历不明的链接进入。
如果已输入信息且怀疑被盗：立即修改密码、启动双因素认证，并联系官方客服与银行（如涉及支付信息）。

给技术用户的深度排查技巧

查看TLS/证书细节（命令行）：
openssl s_client -connect yoursite.com:443 -servername yoursite.com
注意证书的 Subject（CN/SAN）是否包含你访问的域名、Issuer（签发机构）、和证书有效期。
在 crt.sh 上搜索域名，查看历史证书与证书透明日志（可发现是否有未知颁发的证书）。
浏览器开发者工具检查页面脚本：
打开 F12 -> Network / Sources：查看加载的脚本来源。重点关注第三方域名（尤其是可疑或与站点业务无关的域名）。
Console：看是否有被压缩/混淆的大量 eval/unescape/Function 调用，或被动态注入的脚本报错与跨域请求。
Network：观察提交表单的目标（form action）是否指向第三方域名或 IP，尤其是以 POST 方式发送敏感字段。
避免混合内容（HTTPS 页面加载 HTTP 资源），浏览器会有提示。
检查安全头与 cookie 设置：
检查响应头中是否包含 Content-Security-Policy、X-Frame-Options、Strict-Transport-Security（HSTS）等。缺失不等于一定有风险，但存在这些头通常是较成熟站点的标志。
检查 Set-Cookie 是否设置 Secure、HttpOnly、SameSite 等属性。
使用工具做证书与服务扫描：
SSL Labs（Qualys）做一次域名扫描，查看 TLS 配置与证书链。
使用 dig/nslookup 查询 DNS 解析，注意是否指向异常 IP 或 CDN。
使用 whois 查询注册信息（域名注册时长、注册者、注册商），短期注册或隐私保护的记录可能是风险提示。
curl -I https://yoursite.com 可查看响应头。openssl 用于证书链和指纹检查。