它在后台做的事，比你想的多，我把“每日大赛91”的链路追完了：你点一下，它能记住你的设备指纹

它在后台做的事，比你想的多 我把“每日大赛91”的链路追完了：你点一下，它能记住你的设备指纹

前言 很多活动页看起来很简单：点个按钮，提交一次答题或抽奖就完了。但表面行为背后，往往有一套复杂的链路在运行。最近我把一个名为“每日大赛91”的页面从前端到后端逐条追踪了一遍，发现点击后的流程里藏着完整的追踪/指纹化机制——短时间内，它能把你的设备特征“记住”，并在后续交互中重新识别你。下面把方法、发现和用户能做的事都写清楚。

我是怎么追踪的（方法摘要）

• 使用浏览器开发者工具（Network、Application、Console）记录点击前后所有网络请求、存储项与服务工作线程（Service Worker）变化。
• 在无痕和不同浏览器之间重复测试，观察跨会话识别情况。
• 拦截器（如Fiddler）用于查看HTTP请求/响应头，找出第三方域名与重定向链。
• 检查本地存储（cookies、localStorage、IndexedDB、cache）以及注册的service worker、manifest、以及页面加载时请求的第三方脚本。
• 观察页面是否有明显的指纹化脚本（如调用canvas/webgl/audio等API）或通过特征组合生成的唯一ID。

关键发现（逐项拆解） 1) 单次点击触发了多条网络链路 点击后页面不仅向自身后端发送请求，还依次向若干第三方域名发出请求，包括统计/广告/分发相关的API。这些请求有的同步回传用户信息，有的向浏览器下发长有效期的cookie或token。

2) 多种存储手段同时使用（“层叠式持久化”） 除了常规cookie，页面/第三方脚本会在localStorage、IndexedDB、Cache Storage里写入ID或哈希；有时还能注册service worker来维持长期存在的缓存或消息。清除单一cookie后，如果其他位置仍有同样的ID，服务端可以用这些备份恢复识别（这类似Evercookie的思路）。

3) 指纹化技术并非单一来源，而是“特征集合” 页面（或嵌入的第三方脚本）在后台收集大量可通过JS读取的属性：userAgent、屏幕分辨率、时区、语言、CPU核心数、设备内存、是否启用触摸、已安装字体列表、WebGL/Canvas渲染差异、音频处理差异等。这些属性结合起来，经过哈希，就形成一个相对唯一的指纹（fingerprint）。即便你删除cookie或换浏览器，只要设备硬件/系统属性没变，这个指纹就能把你“找回”。

4) 会话与跨会话关联 我在不同时间、不同浏览器（同一台机器）上反复测试，发现有时候能被识别为同一用户，说明服务器端不仅依赖单个cookie，还会把指纹与服务器端用户记录绑定，以便跨会话或跨浏览器关联行为。

5) 重定向与像素追踪仍在用 隐蔽的1x1像素请求、图片/iframe回传、以及通过URL参数带走设备指纹或ID的做法仍然常见。这些方式很难被普通用户察觉，但在Network面板里一目了然。

隐私与风险（客观描述）

• 被识别的后果包括跨设备/跨会话的行为画像累积、定向广告、排序或权限策略差异（例如限制重复抽奖、限制流量等）。
• 如果指纹信息被第三方广告网络或数据平台长期保存，个人偏好和行为模式可能在没有明确同意的情况下被组合、交易或用于商业化决策。
• 指纹并非绝对唯一，但结合服务器侧其他数据（IP、登录信息、激活时间等）能显著提升识别率。

普通用户能做什么（可操作的防护清单）

• 切换到对抗指纹化能力较强的浏览器：如Firefox（开启抗指纹设置）、Brave等，或使用带有隐私保护的配置。
• 使用广告/脚本屏蔽扩展（uBlock Origin、uMatrix、NoScript）拦截不必要的第三方脚本与请求。
• 限制或定期清理浏览器存储：清除cookies、localStorage、IndexedDB和service worker注册；在需要时使用独立浏览器配置/容器（如Firefox容器）分离不同用途。
• 使用VPN或定期改变IP以降低与IP关联的识别能力，但要知道IP改变不能阻止纯指纹识别。
• 在移动端，重置广告ID（Android Advertising ID / iOS IDFA）并限制广告跟踪权限。
• 避免在不信任的小游戏或抽奖页面频繁提交真实个人信息。

开发者和运营方可以怎么做（更负责任的替代方案）

• 明确告知用户在页面上会收集哪些数据，并提供简单的同意/拒绝通道（尤其是第三方跟踪）。
• 如果非必要，减少跨站点脚本和第三方依赖，尽量把统计/验证控制在可控域名下。
• 为用户提供清晰的隐私设置与数据删除接口，不要通过“层叠式持久化”隐蔽性地长期追踪同一设备。
• 考虑使用匿名化/聚合报告代替对单个设备或个人的长期标识。

如何验证网站是否在指纹化你（快速自查步骤）

1. 在浏览器DevTools里打开Network和Application面板，点击页面上的按钮或参与活动。
2. 观察是否有请求发往大量第三方域名，查看返回的Set-Cookie或返回体中是否包含看起来像ID的字符串。
3. 检查Application面板下localStorage、IndexedDB、Cache Storage里是否新增键值。
4. 在Console里搜索canvas或webgl被调用的痕迹（有的指纹库会在控制台输出提示或报错）。
5. 切换浏览器或清空所有存储，再重复一次活动，观察是否能被“找回”。

结论 表面上只是“点一下参与活动”，实际链路可能完成了设备特征收集、长效存储和与服务器端的绑定。对用户来说，知情权和选择权比以往更难保证；对运营者来说，透明且合规的做法既能降低法律和信任风险，也更利于长期品牌建设。你可以用上面的方法自查并采取防护措施，减少无意识中的“被记住”。

最后一句话（给好奇的人） 想看自己在网络上的“指纹有多独特”，可以试试一些在线指纹检测工具，做对照实验：不同浏览器、不同网络环境下，看看自己被识别的概率会怎么变。

继续浏览有关 它在后台你想 的文章