即使您阻止了第 3 方 cookie，跳出跟踪仍然可以设置它们。到目前为止。

有些网站不能接受“不”作为答案。他们没有尊重访问者选择阻止第三方 cookie（当用户从​​一个站点移动到另一个站点时跟踪浏览活动的标识符），而是找到了绕过这些设置的偷偷摸摸的方法。现在，Brave 浏览器的制造商正在采取行动。

本周早些时候，Brave Nightly（浏览器的测试和开发版本）推出了一项旨在防止所谓的反弹跟踪的功能。这项被称为不可链接弹跳的新功能将在定于 3 月 29 日发布的 Brave 1.37 版中全面发布。

压倒一切的隐私

跳出跟踪是网站规避第三方 cookie 阻止的主要方式之一。当浏览器阻止诸如 site.example 之类的网站从诸如 tracker.example 之类的域加载第三方跟踪 cookie 时，site.example 会快速提取一个。当 site.example 检测到无法设置 tracker.example cookie 时，它​​会将浏览器重定向到 tracker.example 站点，设置来自该域的 cookie，然后重定向回原始页面或新目的地。

这样，tracker.example cookie 通过 URL 参数传递，然后作为第一方 cookie 隐藏在登录页面上。一旦 tracker.example 将自己置于访问者浏览的足够多的站点之间，跟踪器最终会构建该活动的详细配置文件，包括用户的兴趣和人口统计数据。

下图显示了第三方烹饪阻止应该如何工作。当用户从site-one.example 移动到cats.example 并随后从site-two.example 移动到cars.example 时，无法跟踪这些移动是否来自同一个人。

跳出跟踪通过在原始站点和用户稍后浏览的 cat.example 或 cars.example 站点之间插入第三方跟踪站点（例如 tracker.example）来规避这种安排。Tracker.example 然后记录是用户同时访问了cats.example 和cars.example。

虽然支持第三方 cookie 阻止的浏览器具有旨在阻止反弹跟踪的现有机制，但这种偷偷摸摸的监视形式仍然难以防御，因为浏览器事先并不知道它将被定向到 tracker.example。这就是不可链接的弹跳出现的地方。

临时存储来拯救

在一篇文章中，Brave 隐私团队周三概述了不可链接弹跳使用的过程。简而言之，不可链接的弹跳会根据已知执行弹跳跟踪的 URL 列表检查用户即将访问的站点。当目标站点出现在列表中并且 Brave 没有 cookie、localStorage 或其他与之相关的数据时，浏览器会自动为该站点创建一个新的一次性浏览器存储区域。

一旦用户离开跟踪站点，Brave 就会删除临时存储。由于不再存储数据，因此跟踪站点将无法在用户下次通过它反弹时重新识别用户。

Brave 还有其他几种方法可以防止网站跟踪。它们包括查询参数剥离、去抖动和（当阻塞设置为积极模式时）警告，让相关用户有机会退出。

Brave 隐私团队解释了完整的流程如下：

1. 导航到新 URL 时，Brave 会通过查询过滤器列表（众包和Brave 生成​​的）来检查该 URL 是否是已知的反弹跟踪（或其他有害）站点。
2. 如果该 URL 出现在过滤器列表中，浏览器会检查目标站点的跟踪器和广告屏蔽设置。如果该设置为Aggressive，则会向用户显示是否要继续导航的警告，如之前的博客文章中所述。
3. 如果用户在默认设置中阻止了跟踪器和广告（或决定继续在Aggressive设置中导航），则浏览器会检查目标站点的第一方 DOM 存储值（cookie、localStorage等）。如果用户有任何现有的存储值，导航将继续使用现有的存储值（换句话说，不应用不可链接弹跳）。如果目标站点不存在 DOM 存储值，则浏览器会为目标站点创建一个新的临时浏览器存储区域。
4. 在您离开可疑的退回跟踪站点后不久（意味着该站点没有打开任何选项卡），临时存储将被删除，从而防止该站点在您下次通过该站点被退回时重新识别您。

团队成员表示，不可链接的弹跳是四个计划应用程序中的第一个，用于实现他们所谓的“第一方临时存储”。这套技术允许网站仅在访问者打开时识别访问者。因此，第一方临时存储会阻止第一方站点重新识别用户，除非用户想要重新识别。

使用第一方临时存储类似于每次用户离开网站时清除浏览器存储，除了它更容易且更有针对性。

“这带来了网络默认行为的彻底转变，”隐私团队成员写道。“迄今为止，浏览器已经假定用户希望每个站点都记住它们，除非用户采取一些明确的步骤来反对这种记忆。相反，Brave 在默认情况下正在努力实现健忘（以及隐私）。”