确实，PowerShell的User-Agent字符串没有完全唯一的专属标识——毕竟它经常会复用浏览器的UA前缀（比如基于Edge/Chrome内核的PowerShell 7+），甚至用户还能自定义UA绕过检测。不过我们可以从请求头的默认差异、请求行为特征这两个维度来区分二者，下面是具体的判断点：

一、默认请求头的差异 #

• Accept 头：现代浏览器的Accept头通常会包含多种媒体类型并附带权重参数，比如 text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8；而PowerShell的Invoke-WebRequest或Invoke-RestMethod默认的Accept头要简洁得多，比如 text/html, application/xhtml+xml, */*，几乎不会带权重（q=）参数。
• Accept-Encoding 头：浏览器一般支持Brotli压缩（br），所以头内容通常是 gzip, deflate, br；但PowerShell 5.1及更早版本默认只支持gzip, deflate，甚至部分场景下不会发送这个头。
• Accept-Language 头：浏览器会根据系统语言偏好生成带权重的字符串，比如 en-US,en;q=0.9,zh-CN;q=0.8；PowerShell默认要么不发送这个头，要么只发送简单的单语言值（比如en-US）。
• Referer 头：浏览器在跳转或加载资源时会自动发送Referer，指向来源页面；而PowerShell默认不会主动发送这个头，除非手动通过-Headers参数添加。
• User-Agent 的隐藏特征：虽然没有绝对唯一标识，但PowerShell的UA通常会在末尾追加版本信息，比如 ... Edg/114.0.1823.82 PowerShell/7.3.6 或 ... like Gecko PowerShell/5.1.19041.3031——当然这个可以被用户修改，所以需要结合其他特征判断。

二、请求行为与特征 #

• Cookie 处理：浏览器会自动管理并发送之前保存的Cookie；而PowerShell默认不会携带任何Cookie，必须手动通过-SessionVariable参数创建并复用会话，才能在后续请求中发送Cookie。如果一个请求没有携带预期的Cookie（而浏览器访问时应该有），大概率是脚本发起的。
• 请求并发度：浏览器加载页面时会同时发起多个请求（比如获取CSS、JS、图片资源）；而PowerShell默认是串行执行请求，除非刻意用并行脚本（比如ForEach-Object -Parallel），所以孤立的单个请求更可能来自PowerShell。
• POST 请求的内容类型：浏览器发送表单POST时，默认Content-Type是application/x-www-form-urlencoded或multipart/form-data；而PowerShell用Invoke-RestMethod发送POST时，如果传入的是对象，默认会用application/json作为Content-Type。

注意事项 #

没有任何单一特征能100%区分二者——毕竟用户可以修改任何请求头、模拟浏览器的行为。最可靠的方式是组合多个特征进行判断，比如同时检查Accept头格式、是否携带Referer、Cookie状态等，来提高识别的准确性。

内容的提问来源于stack exchange，提问作者NotRunner