你以为关了 Cookie 就安全了?你的浏览器光靠字体列表就能认出你。0x00 前言根据 Princeton 大学的研究,全球 Top 100 万网站中,超过 77% 使用了至少一种追踪技术。你每访问一个网页,就可能有数十个追踪器在记录你的行为。更可怕的是:即使你清除了所有 Cookie、使用无痕模式、甚至换了浏览器——网站依然能认出你。这就是浏览器指纹的力量。本文将从追踪原理→检测方法→防护方案,带你建立完整的浏览器隐私防护体系。0x01 网站追踪你的 6 种方式方式一:Cookie 追踪(有状态追踪)最经典也是最普遍的追踪方式。你访问 website.com → 网站在你的浏览器中种下一小段数据(Cookie) → 包含一个唯一 ID(如: uid=abc123) → 下次访问时,网站读取 Cookie → 知道还是你Cookie 类型说明危害等级第一方 Cookie当前网站设置的,维持登录状态低(功能需要)第三方 Cookie其他网站(广告商/分析平台)设置的🔴 高(跨站追踪)Flash CookieAdobe Flash 的本地存储,难以清除🔴 高(已过时但仍存在)Zombie Cookie被删除后自动重建的 Cookie🔴 极高第三方 Cookie 是跨站追踪的核心:你在 A 网站看了鞋子,到 B 网站时广告商(通过第三方 Cookie)知道你喜欢鞋子,就给你推鞋广告。这就是"精准广告"的原理。方式二:浏览器指纹(无状态追踪)即使你清除了所有 Cookie,网站依然能认出你。浏览器指纹通过收集你浏览器的各种特征,组合成一个唯一的"身份证":特征泄露信息唯一性User Agent操作系统、浏览器版本中屏幕分辨率你的显示器大小中时区你的地理位置线索低安装的字体列表系统安装的字体🔴 高Canvas 指纹GPU 渲染差异🔴 极高WebGL 指纹显卡硬件信息🔴 极高音频指纹音频处理差异高浏览器插件安装的扩展高语言设置首选语言低硬件并发数CPU 核心数中电池状态笔记本电量低这些特征单独看不独特,但组合起来就极其精确。根据 EFF(电子前沿基金会)的研究,仅靠 8 个浏览器特征,就能在 99.1% 的情况下唯一识别一个用户。方式三:Canvas 指纹(最强指纹)Canvas 指纹是当前最强大的浏览器指纹技术之一:1. 网站用 HTML5 Canvas API 绘制一段文字/图形 2. 不同设备的 GPU、驱动、字体渲染引擎会产生微小差异 3. 将绘制结果转为哈希值 → 唯一标识你的设备 4. 即使你换了浏览器,硬件不变 → Canvas 指纹不变核心论文:Pixel Perfect: Fingerprinting Canvas in HTML5(原文)方式四:WebRTC 泄露WebRTC 是浏览器内置的实时通信协议,但它有一个严重的隐私问题:即使你使用了 VPN,WebRTC 仍然可能暴露你的真实 IP 地址!原理:WebRTC 的 STUN 请求会绕过 VPN,直接向 STUN 服务器请求你的公网 I