当我们在浏览器中点击一个链接后，这个链接的颜色就会变成紫色或暗红色——这个司空见惯的现象背后，隐藏着一个令人震惊的隐私漏洞，别怀疑，泄露隐私的就是这么个不起眼的小功能。

这个由CSS的:visited伪类实现的视觉效果，本质上是一份公开的浏览记录清单，任何网站都能通过几行简单的JavaScript代码，轻松读取你访问过的所有网站。

更可怕的是，这种监控无需任何高级权限，一段20行的JavaScript代码就能完成：

const detectFootprint = () => {
  const allLinks = document.getElementsByTagName('a');
  return Array.from(allLinks).filter(link => 
    getComputedStyle(link).color === 'rgb(85, 26, 139)'
  ).map(link => link.href);
};

一、一个被忽视的隐私陷阱

现代浏览器通过修改CSS的:visited伪类实现链接变色功能。当用户访问某个链接后，浏览器会自动将该链接的样式修改为预设的已访问状态。这个看似贴心的设计，却让网站开发者可以通过遍历页面所有链接的getComputedStyle属性，检测出哪些链接的color或background-color发生了变化。

2010年，Mozilla安全团队发现：通过构造特定的CSS选择器，网站可以在用户毫无察觉的情况下，批量检测用户访问过的链接。攻击者甚至可以通过渐进检测法，用256种颜色值的排列组合，精确识别出用户访问过的特定URL。

二、浏览器厂商的"亡羊补牢"

面对这个重大隐私漏洞，主流浏览器采取了以下防护措施：

1. 严格限制:visited伪类可用样式（仅保留color/background-color/border-color等）
2. 禁用通过JavaScript获取已访问链接的样式信息
3. 将链接状态检测精度从精确匹配降低到模糊匹配
4. 对同源策略进行强化，阻止跨域检测

但安全研究人员发现，通过定时检测页面重绘时间差（约15-20ms差异），仍可间接推断链接访问状态。在最新版Chrome中，这种攻击的成功率仍高达92%。

三、你的浏览记录正在被谁偷窥？

• 广告联盟通过注入检测脚本，构建用户兴趣画像
• 钓鱼网站批量检测银行/支付类链接，筛选高价值目标
• 雇主监控员工是否访问求职网站
• 政府机构检测特定政治敏感链接
• 恶意软件绘制用户完整的上网轨迹

某第三方追踪脚本的检测代码示例：

const links = document.querySelectorAll('a');
const visited = [];
links.forEach(link => {
  if(window.getComputedStyle(link).color === 'rgb(85, 26, 139)') {
    visited.push(link.href);
  }
});

四、如何筑起隐私防火墙

1. 浏览器设置：在chrome://flags中启用"Always clear history on exit"，使用隐私模式
2. 扩展防护：安装uBlock Origin等插件，阻止第三方脚本
3. CSS欺骗：使用Stylus扩展强制所有链接显示为已访问状态
4. 深度清理：定期执行chrome://settings/clearBrowserData清除浏览记录
5. 终极方案：在Tor浏览器中启用最高安全等级，完全禁用:visited样式

主流浏览器在2010年后开始构筑防线，但攻防战从未停止：

在Chrome 112版本中，安全团队通过引入"模糊染色"机制，将检测精度从像素级降至色域级，但攻击者转而通过检测链接的描边宽度变化（平均0.3px差异）继续突破防线

在数字时代，一个链接的颜色变化都可能成为隐私泄露的突破口。当我们享受互联网便利时，更需要用技术武装自己——毕竟在数据追踪者的眼中，每个网民都是透明的水族箱里游动的鱼。