你以为删了就完事，其实还没结束，我把“每日大赛在线免费观看”的链路追完了：你点一下，它能记住你的设备指纹

你以为删了就完事，其实还没结束，我把“每日大赛在线免费观看”的链路追完了：你点一下，它能记住你的设备指纹

前几天在群里看到一个“每日大赛在线免费观看”的短链，很多人觉得点了看完、删掉就没事了。但我顺着链路把请求追查到发现一套并不复杂、却很有效的“记忆机制”——用户点一下，网站就能把你的设备刻上一个能跨越“删掉”的标签。

我是怎么追查的（简要流程）

• 点击短链 → 被重定向到若干中间域名（短链服务、统计域、广告域）；
• 中间域名加载一两个1×1像素的图片、脚本和 iframe，返回时携带一个唯一 ID（通过 cookie 或 localStorage）；
• 脚本开始收集设备信息（浏览器版本、字体、屏幕分辨率、时区、Canvas 渲染结果、WebGL 指纹等），把这些信息和唯一 ID 发给第三方统计/广告服务器；
• 第三方服务器把信息存库，后续只要相同或相似的指纹出现，就会把已知 ID 关联回该设备，哪怕你删了应用或清了普通 cookie。

设备指纹到底能拿到什么 设备指纹并不是单一数据，而是多个小信息拼在一起形成“指纹骨架”，常见项包括：

• User-Agent、浏览器插件和语言设置；
• 屏幕分辨率、DPI、颜色深度、可用字体；
• Canvas / WebGL 渲染结果（不同显卡/驱动会有微差异）；
• 时间偏移、首选编码、平台标志；
• 浏览器支持的 API 列表、音频指纹、媒体解码特征； 这些看似普通的数据组合在一起，就足够在大量设备中区分出个体。

为什么“删掉”通常不够 很多人以为清除历史或卸载某个应用后就不会再被识别，但有几类机制能让识别持久化：

• localStorage / IndexedDB / Service Worker：不是 cookie，但同样能存储标识；
• 缓存/ETag/HTTP 缓存标签：服务器可以用缓存标识来“复活”删除过的 cookie（即所谓“超级 cookie”实现方式之一）；
• CNAME 隐藏的第三方域名（CNAME-cloaking）：第三方跟踪域通过解析机制伪装成第一方，绕过第三方阻断；
• 指纹匹配：即便没有任何存储，若收集到的指纹高度相似，也能把新请求和旧记录关联；
• 多域同步：广告网络间有同步机制，一个域拿到 ID 后可以通过重定向或像素同步给别的域，形成横向传播。

如何验证及自查

• 打开浏览器开发者工具，Network / Storage 面板可以直接看到哪些域名在加载资源和在本地存了什么；
• 运行在线指纹测试（如 Panopticlick、AmIUnique 等）查看你的指纹唯一程度；
• 观察短链跳转链路：把链接复制到命令行或使用抓包工具（Fiddler/Wireshark）可以看到所有跳转和请求的目标域名。

实用的防护思路（可马上做的）

• 在不信任的链接上别直接用常用浏览器打开，优先用沙箱、临时容器（Firefox 的容器标签）或专门的隐私浏览器；
• 阻止第三方 cookie 和第三方脚本：启用浏览器隐私设置，并安装 uBlock Origin、Privacy Badger、Decentraleyes 等扩展；
• 限制 JavaScript 的执行：NoScript/ScriptSafe 在必要时能阻断指纹脚本（但会影响页面功能）；
• 定期清理或隔离存储：用浏览器的“清除网站数据”功能，或者每次使用私人窗口后彻底关闭；更极端的做法是用独立浏览器/用户资料专门处理可疑内容；
• 使用抗指纹浏览器或严格模式（Tor Browser、Brave 的严格保护），这类浏览器通过让浏览器信息更“统一”来降低指纹识别概率；
• 对于模糊来源的“免费/免费观看”链接，直接不要点或先在虚拟机/临时系统里打开，省得把主设备暴露给广告/跟踪网络。

结语 看似“免费”的诱饵后面常常藏着一整套商业级的识别与追踪链路。删除一次表面痕迹往往无法抹去那串由不同技术拼接成的“记忆”。对普通用户来说，最实际的反应不是惊恐地天天清缓存，而是调整点击习惯、用合适的工具阻断第三方跟踪，并在必要时把可疑内容隔离到不影响主环境的地方。

如果你愿意，我可以把我追踪到的几个可疑域名和网络请求样本整理一份清单，或者写一段简单的操作指南教你一步步在浏览器里查看跳转与存储。想看哪种？

标签： 以为 完事 其实