你没注意的那个按钮：“每日大赛91”看似简单，背后却是你点一下，它能记住你的设备指纹

你没注意的那个按钮：“每日大赛91”看似简单，背后却是你点一下，它能记住你的设备指纹

很多网页或应用里的一个小按钮，看起来只是“参加活动”“开始答题”“领取奖励”的普通交互。你点下去，页面跳一跳，界面变了，活动流程开始——大多数人不会多想。但有些按钮背后运行的脚本，会在你不知情的情况下收集设备指纹（device fingerprint），把你这台设备的“身份证明”传回服务器，随后无须账户登录就能把你和之前的行为绑定起来。

设备指纹是什么？ 设备指纹是把浏览器和设备的多个数据点组合成一个相对唯一的标识：User-Agent、屏幕分辨率、时区、语言、已安装字体、浏览器插件、Canvas/WebGL 渲染差异、音频指纹，甚至硬件性能特征。单一项往往不具识别力，但组合起来就可能区分出大量用户。开发者常用它做反作弊、风控、个性化；追踪机构将其视作比 cookie 更难清除的持久标识。

一个按钮如何“记住”你的指纹？ 点击往往触发 JavaScript 函数。该函数可能：

• 收集浏览器 API 返回的数据（navigator、screen、performance 等）。
• 执行 Canvas 或 WebGL 绘图并读取像素（canvas fingerprinting）。
• 检查可用字体或音频渲染差异。
• 读取 localStorage、IndexedDB、cookie 等并写入持久数据。
• 向第三方 SDK 或追踪域发起请求，把采集到的指纹发送到远端。

有时这是为了防作弊（识别重复参与、刷分），有时被用来跨域追踪用户或建立更稳固的广告目标画像。只要一次点击触发收集并与服务器数据合并，后续即便清除 cookie，也很难彻底“抹去”那条指纹记录。

如何判断你是否被“指纹化”？

• 打开浏览器开发者工具（F12），在 Network 面板查看点击后是否有请求发往可疑域名或带有 fingerprint、fp、device、canvas 等参数的接口。
• 查看 localStorage、IndexedDB、cookie 是否写入了新键值，尤其是看起来像哈希串的值。
• 在 Console 里搜索 canvas、WebGL、AudioContext、getClientRects 等关键词调用。
• 使用在线测试：EFF 的 Panopticlick（或 AmIUnique.org）可以检测浏览器是否容易被指纹识别。
• 在隐身/无痕模式下重复操作，若行为识别仍然发生，说明服务器可能依赖指纹而非 cookie。

怎样降低被指纹化的风险？

• 使用隐私保护良好的浏览器：Firefox（配合隐私增强设置）、Brave、Tor Browser 更注重指纹抗性。
• 安装有效扩展：uBlock Origin（阻止第三方脚本）、Privacy Badger、CanvasBlocker/Canvas Defender、Decentraleyes、NoScript（限制脚本执行）。注意兼容性，有些网站功能可能受限。
• 限用或禁用第三方 cookie 和追踪脚本；在浏览器设置里关闭“发送网站通知”“共享位置信息”等权限。
• 使用临时账户或虚拟机、容器浏览会话，或在手机上使用不同配置的模拟器测试可疑活动。
• 对于移动应用，查看权限并限制广告ID访问（iOS 的限制广告追踪、Android 的广告 ID 重置）。

如果你是开发者：怎样做得更透明和合规？

• 在收集任何能识别人设备的信息前，明确说明用途并征得同意，提供清晰的隐私选项。
• 避免把指纹作为默认持久识别手段，除非真的必要；采用最小化原则，收集最低限度的数据。
• 对敏感数据进行哈希/加密并限定保留期，允许用户查看并删除他们的数据。
• 遵守相关法规（GDPR、CCPA 等），对第三方 SDK 做严格评估并列明第三方数据接入。