什么是浏览器指纹?
浏览器指纹(Browser Fingerprint)是网站在不依赖 cookie 的情况下识别独立设备的技术。 原理:浏览器 + 操作系统 + 硬件 + 字体 + 时区 + 语言 + 屏幕分辨率 + GPU + 音频处理细节 的组合在统计上几乎是唯一的——同一个设备的指纹在数月甚至数年间保持稳定。
这是反爬虫、反欺诈、跨境账号风控、广告归因、追踪用户行为的底层基础设施。 Amazon / Facebook / Google / TikTok Shop / PayPal / Stripe 等跨境平台的风控引擎都会在用户首次访问时采集完整指纹, 在后续访问中通过指纹对比判断「是不是同一台设备 / 同一个人」。 如果你在 5 个店铺间共享设备(即使 IP 换了、邮箱换了),浏览器指纹一致就足以让风控引擎判定「关联账号」。
这工具采集了哪些指纹字段?
chdh.me 浏览器指纹检测覆盖 PRD 全部 8 大组 40+ 字段:
- A. 综合结论 — 真实性评分 0-100、一致性判定、综合指纹 ID(SHA-256 前 32 位)
- B. UA 与系统 — UserAgent / 浏览器 / OS / Platform / Vendor / 一致性判定
- C. 屏幕与视口 — 分辨率 / 可用 / 视口 / 色深 / 像素比 / 视口 = 屏幕?(无头特征)
- D. 硬件 — CPU 核心数 / 设备内存 / 触摸点 / GPU 厂商 / GPU 型号 / 是否软件渲染
- E. 语言与时区 — 主语言 / 全部语言 / 时区 / 时区偏移 / 时区 vs IP 国家一致性
- F. 指纹哈希 — Canvas / WebGL / Audio / 字体集 4 个独立哈希 + 综合 ID
- G. 自动化痕迹 — navigator.webdriver / HeadlessChrome UA / chrome.runtime / plugins / 软件渲染 / 视口异常 / 权限 API 异常 7 个信号
- H. 隐私功能 — Do Not Track / Cookie 启用 / LocalStorage / 隐身模式 / 存储配额
所有采集均在浏览器本地完成,不上传任何字段到 chdh.me 后端。
唯一调用后端的是「时区 vs IP 国家一致性」这一项——
为此调一次 /api/check?type=ip 拿到你的 IP 国家代码,完成判定后即丢弃。
4 类指纹哈希的技术原理
Canvas 指纹
原理:浏览器绘制同一段文本和图形,不同硬件 / 字体 / 显卡 / 浏览器版本 / 操作系统渲染出的像素结果会有微小差异。
把绘制结果转成 toDataURL() 字符串后取 hash,就得到了这台设备的 Canvas 指纹。
同一台设备同一浏览器 99.9% 稳定——除非你换浏览器或主动改字体。
chdh.me 用了一段带 emoji + 多字体 + 渐变圆弧的固定模板,避免与第三方工具撞 hash。
WebGL 指纹
原理:基于 GPU 渲染管线 + 拿 WEBGL_debug_renderer_info 扩展暴露的
UNMASKED_VENDOR_WEBGL 和 UNMASKED_RENDERER_WEBGL——
这两个字段直接暴露你的显卡品牌和型号(如「Apple M2」、「NVIDIA GeForce RTX 4090」、「Google SwiftShader」)。
再加上 GL_VERSION / SHADING_LANGUAGE_VERSION / MAX_TEXTURE_SIZE 等参数 → hash。
关键风控信号:如果 renderer 字符串里出现 SwiftShader / llvmpipe / Mesa Offscreen / software—— 说明这浏览器没有硬件加速,多见于无头浏览器 / 虚拟机 / Docker 容器。 跨境平台一眼能识破。
Audio 指纹
原理:用 OfflineAudioContext 渲染一段固定三角波(10kHz),经过 DynamicsCompressor 处理后取 buffer 数据 hash。
不同操作系统 / 浏览器 / CPU 架构在浮点计算上有微小差异——
Mac OS / Windows / Linux 之间、Intel / AMD / Apple Silicon 之间、Chrome / Firefox / Safari 之间都能区分出来。
Audio 指纹特别稳定且难伪造,是反指纹浏览器对抗的难点之一。
字体集指纹
原理:用「offsetWidth 比较法」探测一组典型字体是否安装在系统中。 chdh.me 探测 27 个常见字体(Arial / 微软雅黑 / PingFang SC / Roboto / Source Han Sans / 等),把已安装的字体名拼成字符串后取 hash。 你装了什么字体 = 你是什么用户群体—— 装了「Comic Sans MS」+「Times New Roman」+「Garamond」?大概率 Windows + 早期 Office。 装了「PingFang SC」+「Hiragino Sans GB」+「STHeiti」?基本可以判定是 macOS 中文区。
自动化痕迹检测:7 个公开信号 + 加权评分
chdh.me 用与「代理 / VPN 检测」同套路的加权评分算法,覆盖 7 个公开信号:
- +50 navigator.webdriver === true — 最强信号,Selenium / Puppeteer / Playwright 默认开启
- +40 UserAgent 含 HeadlessChrome / PhantomJS — 直接暴露
- +25 window.chrome.runtime 缺失 — 标准 Chrome 应有,无头通常缺失
- +20 navigator.plugins 长度为 0 — 桌面 Chrome 默认至少有 PDF Viewer
- +20 GPU 软件渲染 — 无头默认无硬件加速
- +15 视口 = 屏幕 — 正常浏览器视口比屏幕小(减去浏览器 UI)
- +15 Notification 权限 API 异常 — 已知 HeadlessChrome 状态机错误
阈值:≥50 机器人嫌疑大 / 20-49 部分痕迹 / <20 看起来是真人。 但要警告:本工具只覆盖公开信号——专业反爬服务(Cloudflare Bot Management / Akamai Bot Manager / DataDome / PerimeterX)使用的私有信号远多于此, 通过本工具不被识破不代表能突破这些反爬服务。
这工具的 4 个真实使用场景
场景 1:反指纹浏览器测试
你在 AdsPower / Multilogin / 紫鸟 / Dolphin Anty 里开了一个新 profile, 号称「美国 Windows 11 + Chrome 130 + 美国时区」。用本工具自检一遍: ① UA / Platform 是否一致;② Canvas / WebGL 指纹是否与本机不同(避免串号);③ GPU 是否软件渲染; ④ 时区是否与 profile 配置匹配;⑤ navigator.webdriver 是否为 true。任何一项异常都会立刻被 Amazon / Facebook 识破。
场景 2:跨境多账号矩阵每日自检
你跑 20+ 个亚马逊 / TikTok Shop 店铺矩阵,每个店铺对应一个独立 profile。 每天上班第一件事:在每个 profile 里打开本页, 记录 综合指纹 ID——确认每个 profile 的 ID 都不同(没有串号)。 如果两个 profile 显示同一个 ID,说明指纹浏览器配置错误,必须立刻修。
场景 3:反爬虫工程师调试
你在开发反爬虫规则,需要快速判断「这个请求是真人还是 Puppeteer / Playwright」。 用本工具的「自动化痕迹检测」模块作为参考—— 所有 7 个公开信号都是反爬规则的标准基线。可以把这些信号作为你的服务端检测列表, 或者用本工具的开源思路自实现(详见 国产指纹浏览器深度横评 中的反共识章节)。
场景 4:隐私意识用户自检
你装了 Brave / Tor Browser / Firefox + Privacy Badger / uBlock Origin 等隐私工具, 想验证「这些工具真的让我的指纹无法识别吗」。用本工具看: ① Canvas 哈希是否每次刷新都变(Brave / Tor 会主动加噪声); ② WebGL renderer 是否被 spoof;③ 字体集是否被限制成只有几个基础字体。 实测下来 Tor Browser 真实性评分约 40-60(看起来比正常 Chrome 更可疑)—— 因为 Tor 主动伪装成「通用 Tor 用户」而不是「典型真人」,但所有 Tor 用户在统计上长得一模一样所以反向不可追踪。
这工具的局限
- 只覆盖公开技术信号。专业反爬服务(Cloudflare BM / Akamai / DataDome / PerimeterX) 使用大量私有信号(TLS Client Hello / TCP 指纹 / HTTP/2 帧顺序 / JS 执行时序),本工具检测不到。
- 不替代账号注册的全链路自检。chdh.me 反复强调:90% 的封号不在浏览器层。 即使本工具显示「真实性 100 满分」,IP 是数据中心 / 收款共享 / 注册资料相似度高的话, Amazon / Facebook / TikTok Shop 一样能封你。
- 数据库快照延迟。WebGL renderer 字符串 / Canvas 哈希等不是「数据库标记」而是「实测产物」, 但反爬服务可能维护「已知指纹浏览器特征库」——你的指纹浏览器今天没事不代表明天没事。
常见问题
Q1: 综合指纹 ID 是什么算法?
Canvas 哈希 + WebGL 哈希 + Audio 哈希 + 字体集哈希拼接后取 SHA-256,截取前 32 位。
用浏览器原生 crypto.subtle.digest('SHA-256'),零外部依赖。
同一设备同一浏览器同一字体配置下结果稳定,是 chdh.me 本机识别用的 ID,不上传服务器。
Q2: 我能用这工具检测别人的指纹吗?
不能。本工具 100% 在用户浏览器本地采集,没有提供 ?id= 参数查询他人指纹的接口——
这是设计选择,避免被用于追踪 / 反查他人。
如果你需要做规模化指纹采集(如反爬虫数据库),请自行实现或买商业服务(FingerprintJS Pro / Persona)。
Q3: 我用 Brave / Tor,为什么真实性评分这么低?
Brave / Tor 主动对 Canvas / Audio / WebGL 加噪声让指纹不稳定——这是反指纹追踪的设计目标。 但本工具的「真实性评分」是从「跨境平台风控视角」算的——风控关心「这个浏览器是不是正常人在用?」。 Brave / Tor 的字体集只有几个基础字体 + 视口可能等于屏幕 + UA 被伪装成通用, 在风控眼中和 HeadlessChrome 长得很像。所以评分偏低很正常。 评分低不代表浏览器不好——只代表「不像普通真人用户」。
Q4: 这工具会让我的浏览器卡顿吗?
不会。所有采集在 200ms-1s 内完成,最慢的是 Audio 指纹(OfflineAudioContext 渲染 1 秒音频)和 字体探测(27 个字体的 offsetWidth 比对)。所有采集函数都有超时兜底,单一字段失败不影响整体。
关于 chdh.me
出海导航 chdh.me 是面向中国跨境电商 / 独立站 / 海外 SaaS 创业者的独立工具评测与发现平台。 截至 2026-07 收录 2,200+ 出海工具 + 27 篇深度评测 + 1,700+ 工具对比页,覆盖 22 个出海赛道。 独立运营 · 纯公益 · 不接联盟链接 · 不接付费收录 · 不接付费排名。 所有评测基于真实账号 / 真实订单 / 真实接入测试,详见 收录与评测标准 与 公益承诺。