功能开发中
首页 / Web / 安全链接解码器

安全链接解码器

解码和分析安全链接。

解码结果

请输入安全链接并点击解码按钮

链接分析

链接分析结果将显示在这里

安全链接示例

JWT Token: 包含签名验证
URL 编码: 参数经过编码
时间戳: 包含过期时间
签名验证: 确保链接完整性

关于安全链接

安全链接通常用于保护敏感操作的 URL,防止恶意使用或篡改。常见的安全链接包括带有 JWT token、时间戳验证、签名验证的链接等。

安全链接特点:

  • 包含时间戳以防止重放攻击
  • 使用签名验证确保完整性
  • 可能包含访问令牌或权限信息
  • 有时效性限制
使用教程
  1. 在"输入编码的链接"文本域中粘贴待分析的URL(已默认预填一个包含JWT token的示例链接可直接点击体验)
  2. 点击蓝色"解码链接"按钮执行全面分析
  3. 查看"解码结果"区域的详细输出:
  4. 查看"链接分析"区域的安全评估结论:
使用场景
  • 邮件安全审计:安全团队收到用户报告的可疑邮件时提取其中的"重置密码"/"验证邮箱"链接粘贴到此工具中分析是否指向恶意站点或包含钓鱼JWT。
  • OAuth/SSO流程调试:开发者在调试第三方登录(GitHub OAuth/Google Sign In/企业CAS SSO)时的回调URL中含有state/token/code参数时解码分析其中的会话信息。
  • Open Redirect漏洞验证:安全研究员在测试应用的登录后跳转功能时构造?next=https://evil.com类payload用此工具确认参数是否被标记为高风险重定向向量。
  • JWT Token离线解析:前端开发者拿到后端返回的Access Token但不知道其中包含什么权限scopes和过期时间exp时直接将token粘贴进来查看payload。
  • URL短链追踪还原:用户收到疑似钓鱼短信中的短链(t.cn/bit.ly/tinyurl)先用浏览器访问获取最终跳转目标URL再粘贴到此工具分析真实意图。
  • WAF规则调优:网络安全工程师收集一批正常业务链接和攻击样本链接在此工具中批量分析差异特征来优化ModSecurity或云WAF的自定义防御规则。
  • GDPR合规URL清理:隐私合规官检查营销邮件中的追踪链接是否包含过度采集用户信息的UTM参数或第三方监控token。
  • API Gateway日志分析:后端工程师从API网关访问日志中提取带有认证token的request URL解码其中的JWT payload辅助排查用户鉴权失败原因。
常见问题
Q: 工具能验证JWT的签名(signature)是否有效吗?
A: 当前版本只做Base64URL解码展示Payload内容不做签名验证。要验证签名有效性需要知道服务端的密钥(secret for HS256)或公钥(for RS256)并在服务端或使用jwt.io等工具完成。本工具的价值在于让你看到JWT里到底包含了什么声明(claims)而不需要依赖外部服务。
Q: 检测到的"潜在XSS"一定是真的有XSS漏洞吗?
A: 不一定。工具采用的是基于关键词(script/javascript)的启发式初筛而非完整的上下文感知语法分析。误报情况包括:参数值只是讨论XSS的文章标题、包含javascript:协议的合法URL、被HTML实体编码后的安全字符串等。此检测目的是引起注意让你人工复核而非替代专业DAST动态扫描工具(Burp Suite/OWASP ZAP)的结果。
Q: 链接中的JWT token会被发送到你的服务器吗?
A: 完全不会。所有解析逻辑在你的浏览器中使用原生JavaScript的new URL()atob()JSON.parse()等API完成,URL字符串从未离开你的设备。你可以按F12打开Network面板确认页面加载后没有任何后续的网络请求发出。
工具名称 安全链接解码器
所属分类 Web
更新时间 2026-06-23
使用次数 37
工具简介 解码和分析安全链接。
功能特性
结构化URL解析:利用浏览器原生URL API将输入链接分解为origin(来源)、pathname(路径)、search params(全部查询参数)三大组成部分逐项展示。
JWT深度解码:自动识别符合eyJ.*\.eyJ.*\.[A-Za-z0-9-_]+三段式特征的JWT token参数,执行Base64URL解码还原出alg算法头和iss/sub/exp/iat等声明载荷并以格式化JSON展示。
XSS注入检测:扫描所有参数值是否包含script/javascript等关键词标记为potential_xss类型可疑元素并用黄色警示样式标注。
Open Redirect检测:识别参数名含redirect/return/url/next/target等典型开放重定向模式的风险参数。
钓鱼域名启发式判断:检查hostname是否包含google.com/facebook.com等知名域名作为子串但不以其结尾(如google.com.evil.com)的可疑钓鱼特征。
综合安全评分:汇总以上检测结果给出"未发现明显安全问题"或列出具体问题清单的安全分析摘要报告。
暂无收藏工具
收藏工具