越深挖越心惊：看完2026年Chrome漏洞报告，我发现大家竟一直在裸奔【X.PIN】

正在用浏览器上网的小伙伴们应该都知道，正常情况下网页的链接是蓝色的。而当你点过一个链接之后，再看它会变成紫色。但是我猜你们不知道，这个紫色的链接成为了万恶之源。表面上它是一个人畜无害的小标识，但是整整23年的时间里，它都在导致本来属于你自己的私密浏览记录正在被全网翻阅。

链接变色背后的隐私泄露逻辑

我们知道一个网页要想好看，排版就必须得合理。而这就要用到一个叫做CSS语言的东西。它能定义网页的字体颜色、对齐方式这些视觉元素，改善用户的视觉体验。我们前面提到的这个链接变紫的操作，其实就是通过CSS根据浏览器历史记录，把浏览过的链接标记为一个叫做:visited，然后把颜色代码设置为purple实现。

这样一来，浏览过的网页链接就都会被CSS打上标签，变更样式，跟没有浏览过的网页区分开来。问题就出现了，因为:visited是一个全局列表。假设你在差评网站上访问过了火锅链接，那么火锅的链接就会变成紫色。但是紧接着，如果你访问了一个名叫好评的山寨网站，里头也有一个同样的火锅链接，那么这个链接也会变成紫色——浏览器只认历史记录的链接，压根不管你是在哪看过这个链接。

隐私泄露的真实危害与旧方案局限

如果有一个恶意网站里面内嵌了特定行业的针对性链接，只需要通过利用这个漏洞读取页面上的CSS信息，这个网站就能扒光你相关的浏览历史。老板能看到自己的员工有没有偷偷摸鱼或者刷boss直聘，卖车的销售能看到你都考虑过哪些竞品，甚至哪儿不舒服搜过什么症状，卖保健品的都能给你精准推送。

我们在整理本期内容的时候，还发现了一个基于这个漏洞做的网站，宣称只要让你的好兄弟打开这个页面的链接，你就能够看到你的好兄弟曾经都看过哪些淘气的网站。不过跟大家说个好消息，这个网站现在貌似挂了，最新的截图是2010年的。

更可怕的是，现在到处都是广告联盟、营销联盟，用户的画像信息都是共享的。汽车广告平台收集到你最近看了哪几款车，医疗广告平台收集到你最近浏览了哪几种病症，职业广告平台收集到了你最近在看什么薪资水平的工作，你的整个用户画像就被人完整画出来，甚至能倒推识别出你的身份。

23年漏洞终得解决：Chrome分区方案详解

两年前我们跟大家聊过说谷歌有一个骚操作叫做topic API，当时就是类似的问题，前两天刚刚被谷歌给正式宣布废弃。而这次这个链接访问标记遇到的情况和之前topic API堪称一模一样。这么浅显的一个漏洞，最早在2002年就被一个名叫David barren的开发者发现并上传，至今为止已经过去了23年之久。

此前的解决方案要么影响性能和兼容性，要么总是被黑客找到方法绕过去，只能起到缓解作用，没有办法彻底解决。甚至chrome团队都曾把用户反馈的相关问题标记为无法解决。不过这摊老大难终于要迎来转机了，根据Google软件工程师Kyra severs的说法，这个漏洞将在2026年Chrome 136版本当中彻底解决。

Google的解决办法是给浏览器记录划分三个分区：链接网址、顶级网站和框架源。浏览器在记录浏览历史的时候，会同时记录下这三个部分的信息。当这一个分区系统启用之后，:visited这个历史记录就不再是所有网站都能查询的全局列表，而是根据这三个分区去判断是不是同一个网站的链接。只要有一个分区对不上，CSS就不会给链接标记:visited，颜色样式也不会有变化。

如果一切顺利，2026年Chrome浏览器更新136版本后，这个长达23年通过链接变色泄露隐私的棘手漏洞，终于是要彻底落下帷幕了。不过解决完一个问题，还有更多的问题等着我们。比如我们的同事小柳这次在整理本期内容的时候，就发现了一篇2000年的论文，里面提到网站可以通过你页面加载的时间，判断你之前有没有对页面内容进行过缓存，进而推测你有没有访问过这个页面。道高一尺魔高一丈，人类打补丁的速度还是跟不上科技发展的速度呀。