FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

谷歌将于2025年4月发布的Chrome 136版本引入"已访问链接分区"功能，这项突破性特性将修复困扰互联网二十余年的隐私漏洞。作为首个实现这一强力防护机制的主流浏览器，Chrome确保用户浏览历史免遭窥探，标志着在线安全领域的重大进步。

根除历史记录探测漏洞

自互联网早期开始，CSS的:visited选择器就允许网站对已点击链接进行样式设置（通常变为紫色以提升导航体验）。然而这项用户友好功能却埋下安全隐患——恶意网站可通过检测:visited样式推断用户访问过的站点。

例如当用户从A网站点击访问B网站的链接后，恶意网站Evil后续若显示相同链接，就能利用其:visited状态确认用户曾访问过B网站。此前浏览器虽通过限制样式选项等措施减缓此类历史探测攻击，但始终无法彻底根治。

Chrome的:visited链接分区技术通过将链接历史与上下文细节（包括链接URL、顶级站点和框架来源）关联存储，从根本上解决了这一问题。现在，链接仅在其被点击的站点显示为:visited状态，有效防止跨站泄露。在前述场景中，Evil网站指向B站的链接将保持未访问样式（除非用户在该站内点击），使攻击手段彻底失效。

谷歌表示："这是浏览器安全的历史性时刻。通过:visited链接分区，Chrome在保持用户体验流畅性的同时，消除了长期存在的隐私风险。我们致力于为所有人构建更安全的网络环境。"

安全性与可用性的平衡设计

为兼顾导航便利性，Chrome特别设计了"自链接"例外机制：允许网站对其子页面链接显示:visited样式（无论用户从何种上下文访问过这些页面）。例如当浏览Site.Wiki的黄金主题页时，其铬和铜合金页面的链接若曾被访问过，仍会显示已访问状态。

由于网站本身就能追踪子页面访问记录，该例外机制不会泄露新信息。关键的是，该机制排除第三方链接和iframe框架，确保不会产生跨站追踪漏洞。这种精巧设计在维持站点内导航习惯的同时，坚守了严格的安全标准。

该修复方案已登陆Chrome Beta测试通道，将于2025年4月23日随Chrome 136正式版推送。谷歌鼓励用户通过Chromium问题追踪器提交反馈。通过重构浏览历史处理机制，Chrome不仅保留了已访问链接样式的实用性，更为所有用户提供了更安全、更私密的网络体验。

参考来源：

Google Chrome 136 Getting Update with 20-Year-Old Visited Links Privacy Bug Fix

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）