你以为是广告，其实是探针，我把“每日大赛官网”的链路追完了：你以为关掉就完事，其实还没结束

你以为是广告，其实是探针——我把“每日大赛官网”的链路追完了：你以为关掉就完事，其实还没结束

前言 很多人点开一个广告、看完着陆页就关掉，以为一切结束了。但实际情况并不那么简单。一次例行跟踪，我把“每日大赛官网”从广告点击到后续流量/存储的完整链路追了一遍，发现这条链路里藏着不少“探针”行为：数据在你看不见的地方被采集、复制、同步，甚至有长期存留的痕迹。下面把过程、技术细节和可操作的防护步骤写清楚，便于你自己验证和自保。

我怎么追的（方法概览）

• 浏览器工具：Chrome/Edge 的 DevTools（Network + Application），勾选“Preserve log”，禁用缓存，过滤 Img/Script/XHR/Beacon。
• 命令行：curl -I/-v/-L 用来跟踪重定向链；wget --max-redirect 检查跳转；tcpdump/mitmproxy 用于抓包（需自签证书进行 HTTPS 中间人）。
• 本地检查：Application 面板查看 Cookies、LocalStorage、SessionStorage、IndexedDB、Service Workers、Push Subscriptions。
• 自动化/复现：用无痕窗口、多台不同设备做对照以排除本地扩展干扰。

发现了什么（典型链路与“探针”手段） 1) 广告点击 -> 跳转链：广告实际上先把你通过一串短链接/重定向（click tracking）送到多个域名，每一跳都可能记录 clickid、timestamp、user-agent、referer 等。使用 curl -I 可以把每个 302 的 Location 打印出来，便于看到链路节点。 2) 像素与 Beacon：着陆页会请求多个 1x1 像素、/pixel 或 /collect 接口，或在卸载时调用 navigator.sendBeacon。无论页面是否被关闭，已触发的 Beacon 会在浏览器后台尝试发送。 3) 第三方脚本和 cookie 同步：着陆页加载的第三方脚本会设置第一方或第三方 cookie，通过“cookie syncing”（重定向携带 id 参数）把 ID 同步到广告生态的多个域上，从而实现跨域追踪。 4) 本地存储和 IndexedDB：有些跟踪会把标识写入 localStorage 或 IndexedDB，寿命通常比 session cookie 更长。 5) Service Worker / Push：极少数站点会注册 Service Worker 或请求 Push 权限。Service Worker 能拦截/转发请求，Push 订阅能在你不打开页面时接收消息。取消订阅需要手动操作。 6) 指纹与服务器端绑定：即使清除了 cookie，服务器也可能基于指纹（User-Agent、分辨率、字体、Canvas 等）把新的浏览行为和旧标识关联起来，形成持久画像。

如何复现这条链路（可操作步骤） 1) 打开 DevTools → Network，勾选“Preserve log”，禁用缓存。 2) 点击广告，观察最先出现的请求，找出第一跳的跟踪域名（常见 clickid、aff、sub 参数）。 3) 用 curl -v -L "第一跳URL" 跟随重定向，记录每个 Location 值和响应头里的 Set-Cookie。 4) Application 面板检查：Cookies、LocalStorage、IndexedDB 有没有新增项；查看 Service Workers 是否被注册；查看 Push Subscriptions。 5) 在 Network 里筛选 /pixel、/collect、beacon、xhr，查看请求体里传输了哪些参数（uid、clickid、referer 等）。 6) 关掉页面后再观察：是否有延迟/在卸载时发送的 Beacon，或 Service Worker 的 fetch 活动。

实用防护清单（用户可立即采取）

• 在浏览器里清除“站点数据”（Cookies、Local Storage、IndexedDB），并进入 DevTools → Application → Service Workers，手动 unregister。
• 关闭或拒绝推送通知权限，查看并删除 Push 订阅。
• 使用 uBlock Origin / Privacy Badger / Ghostery 屏蔽第三方跟踪脚本和像素。
• 阻止第三方 cookie（浏览器隐私设置），或采用浏览器隐私模式与严格追踪防护的浏览器（如 Brave、Firefox + ETP）。
• 对于更激进的屏蔽，可在 hosts 文件或网络层（Pi-hole）屏蔽已知跟踪域名。
• 如果需要彻底验证链路：在隔离环境（无扩展的干净浏览器或虚拟机）重复跟踪流程，使用 mitmproxy 抓 HTTPS。

给站长/产品的建议（检查点）

• 检查你的页面是否无意中加载了第三方脚本或嵌套的跟踪域，审计加载链，清晰列出引入的外部依赖。
• 对外部追踪的必要性做审查，尽量避免在无明确告知的情况下注册 Service Worker 或请求 Push 权限。
• 在隐私政策和用户交互中明确告知数据收集用途与存储周期，提供清晰的“撤回”路径（例如一键清除站点数据的提示）。

结语 关闭页面并不等于“断开”——短链接、像素、脚本、localStorage、Service Worker、cookie 同步和服务器端的指纹技术，共同把“探针”做到你看不见的地方。希望这篇拆解能帮你把链路看清楚、把隐私风险降到可控。如果你想要我把某个具体页面或广告链接的链路完整抓包并写成技术报告（带截图、curl 输出和整改建议），可以联系我，我会按实际结果做出可操作的清单和拦截方案。