点过的网页会变色 没错！这玩意把你的浏览记录漏光了

在数字时代，隐私保护已成为互联网用户最关注的问题之一。然而，一个看似无害的浏览器功能——访问过的链接变色，却悄然成为隐私泄露的漏洞，这一隐患竟然存在了23年之久。这个由CSS的":visited"选择器实现的功能，本意是提升用户体验，却意外成为了窥探用户浏览历史的窗口。

该功能的核心机制在于浏览器会将访问过的链接标记为":visited"状态，并通过CSS改变其样式（通常变为紫色）。问题在于，这个历史记录是一个全局列表，不受域名限制。例如，用户在A网站访问过某链接后，当访问B网站时，若存在相同链接，B网站的管理者就能通过检测CSS样式变化，推断出用户的浏览历史。

更严重的是，恶意网站可以利用JavaScript的getComputedStyle()函数，批量检测数万个链接的访问状态。这种攻击方式每分钟可扫描数十万链接，足以构建详细的用户画像。早在2002年，开发者David Baron就报告了这个漏洞，但由于技术限制和兼容性问题，始终未能彻底解决。

这种历史记录泄露可能带来多重风险：

1. 商业利用：招聘网站可检测员工是否浏览竞争对手页面；汽车销售商能掌握客户比较过的车型；医疗广告商可针对用户搜索过的症状精准推送。

2. 身份识别：当浏览历史数据积累到一定规模，结合其他信息可精准定位到具体个人，实现"实名制上网"。

3. 社交尴尬：曾有网站提供"查看朋友访问过的页面"功能，虽已关闭，但证明该漏洞曾被实际滥用。

多年来，浏览器厂商尝试过多种缓解方案：

对CSS查询函数返回虚假信息

直接禁用":visited"样式

限制可检测的样式属性

但这些方案都存在缺陷，要么影响网页兼容性，要么容易被绕过。直到2025年4月，Chrome 136版本推出"历史记录分区"技术才实现突破性进展。该技术将浏览历史分为三个维度存储：

1. 链接网址

2. 顶级网站域名

3. 框架源（针对iframe嵌套内容）

只有当三个维度完全匹配时，链接才会显示为已访问状态。这意味着，不同网站间的相同链接不再共享访问状态，从根本上切断了跨站追踪的可能性。

尽管这个特定漏洞即将修复，但隐私保护仍面临诸多挑战：

1. 时序攻击：通过测量页面加载时间推断缓存状态的技术已存在25年，且不断进化。

2. 新型攻击向量：如利用矢量图渲染时间差进行追踪的技术正在兴起。

3. 系统性问题：浏览器历史记录仍存在十多种已知攻击方式，如缓存探测、DNS预取检测等。

这个案例折射出互联网发展的悖论：为提升用户体验而设计的功能，可能在不经意间成为安全隐患。随着网络活动日益融入日常生活，浏览历史已不仅是一串链接，而是承载着个人兴趣、健康状况、职业动向等敏感信息的数字足迹。

正如网络安全专家所言："在数字世界，没有微不足道的隐私。"浏览器历史记录泄露事件提醒我们，互联网隐私保护仍任重道远。随着Chrome的解决方案落地，我们期待看到更多技术创新，让用户在享受网络便利的同时，真正拥有"不被观察"的自由。

在这个信息高度互联的时代，每个技术细节都可能成为隐私保护的薄弱环节。从一个小小的紫色链接出发，我们看到的不仅是技术漏洞，更是整个互联网生态对用户权益的尊重程度。只有当这类"历史遗留问题"被逐一解决，数字世界才能成为真正安全的生活空间。