随机用户代理:为什么要轮换使用,以及何时会适得其反
大多数设置随机用户代理的人都想隐身。他们安装一个切换器,选择“每五分钟轮换一次”,然后就以为自己更难被追踪。有时候确实如此,但通常情况恰恰相反。用户代理是浏览器发送给每个网站的一小段自我介绍文本,随机生成的用户代理比枯燥乏味的真实用户代理更引人注目。服务器有充分的理由仔细读取这行文本:如今,自动化机器人占据了网络流量的大部分,因此用户代理是网站用来判断你是真人还是程序的首要检查内容。
本指南将详细介绍用户代理实际揭示的内容、“随机”的真正含义、旋转在哪些情况下真正有帮助,以及在哪些情况下它会悄悄地对你产生不利影响。
用户代理字符串告诉网站什么
用户代理是一个 HTTP 标头,也就是浏览器附加到每个请求上的一个字符串。它读起来就像一段笨拙的自我介绍。一个典型的 Chrome 用户代理字符串如下所示:`Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36`。在这看似杂乱无章的信息中,却隐藏着大量关于您设备的信息。
服务器读取该字符串以决定返回什么内容。移动用户代理会获取页面的移动布局;旧版浏览器可能会获取网站的简化版本。这是其正常功能。该字符串还会告诉网站你使用的是哪个浏览器、哪个版本以及哪个操作系统,而这正是用于追踪的关键信息。
| 令牌 | 示例值 | 它揭示了什么 |
|---|---|---|
| 产品 | Mozilla/5.0 | 几乎所有浏览器都支持旧版兼容性令牌 |
| 平台 | Windows NT 10.0;Win64;x64 | 您的操作系统和架构 |
| 引擎 | AppleWebKit/537.36 | 渲染引擎 |
| 浏览器 | Chrome/124.0.0.0 | 浏览器名称和版本 |
| 设备提示 | iPhone;CPU iPhone OS 17_4 | 在移动设备上,设备类别 |
这些信息都不会直接透露你的名字。但结合页面上其他所有内容,它就成了一篇冗长忏悔录中的又一行。
什么是随机用户代理以及轮换机制的工作原理
随机用户代理并非一串乱码。“随机”指的是从一个真实、常用的用户代理字符串池中轮换选择,而不是每次都发送同一个字符串。这个字符串池至关重要:一个好的工具会从当前广泛使用的字符串中抽取,这样每次选择都像是普通的访问者,而不是一个虚构的、并不存在的浏览器。
轮换机制有三种常见模式。每次请求轮换都会在每次调用时更换字符串,这适合频繁调用 API 的爬虫程序。会话轮换会在整个浏览会话期间保持同一个字符串,这更接近真实用户不会在访问过程中切换浏览器的情况。间隔轮换(大多数切换器扩展程序使用的模式)会每隔几分钟或在浏览器启动时自动选择一个新的字符串。
选择哪种节奏完全取决于你的目标。爬虫想要模拟上千个不同的用户,而注重隐私的人则只想模拟一个普通用户。这两者的目标截然不同,一种节奏的调整可能会暴露另一种。这种矛盾贯穿本指南的其余部分。
随机用户代理浏览器扩展和切换器
对大多数人来说,随机用户代理是通过浏览器扩展程序实现的。安装后,它会代表你伪造用户代理标头,每次请求或按设定的时间表替换不同的字符串。
Chrome 和 Firefox 切换器扩展程序
最知名的一款名为 Random User-Agent 的扩展程序。它是开源的、轻量级的,可在 Chrome、Firefox、Edge 和 Opera 浏览器上运行。仅 Chrome 版本就拥有超过 10 万用户和 4.6 星的评分,这足以说明人们对这项小小的改动有多么渴望。您可以从 Chrome 网上应用店安装它,该扩展程序会将您的真实用户代理替换为从其池中随机选择的一个,并按照您设置的时间表刷新。
还有第二个流行的工具,用户代理切换器和管理器,它倾向于手动控制:您可以从工具栏弹出窗口中为每个站点选择一个特定的字符串,这对于测试网站在不同设备上的行为非常有用。
这些设置实际有什么作用?
这些扩展程序的价值就体现在它们的设置选项上,而用户也正是在这里误解了它们。典型的浏览器切换器允许用户设置自动切换间隔、维护例外列表(以便受信任的网站始终看到用户的真实浏览器)以及提供自定义用户代理列表。许多扩展程序还提供 JavaScript 保护设置,该设置会尝试让页面上的脚本使用与标头声明相同的虚假浏览器,而不是使用底层真实的浏览器。
在隐私方面,信誉良好的扩展程序是安全的。Random User-Agent 的隐私政策声明,它从未收集过,也永远不会收集个人数据或浏览历史记录。问题不在于扩展程序的诚实——而在于更改用户代理字符串并不会改变网站读取的其他数十个信号,而这正是问题的根源所在。
用于网络爬虫的轮换用户代理
在网页抓取中,随机用户代理才是真正合适的工具。当你抓取成千上万个页面时,用户代理不再是隐私问题,而是关乎生存的问题。
为什么一个用户代理会导致你被屏蔽
服务器首先会对用户代理进行指纹识别,因为这是成本最低的检查方式。如果一分钟内收到一千个请求,且每个请求都携带相同的字符串,那么这种模式就显而易见,服务器会迅速将其屏蔽。这种压力与日俱增:到2025年,自动化流量将占所有网络请求的绝大多数,仅人工智能驱动的爬虫流量就增长了近15倍。根据Imperva的恶意机器人报告,在这些流量中,反机器人系统最想拦截的恶意部分占了近37%的流量,这就是为什么现在几乎所有正规网站都会在入口处设置简单的用户代理检查。网站也通过加强对单个静态用户代理检查失败的验证来应对这一挑战。工具市场也反映了这种风险,到2025年,网络爬虫软件市场的价值将超过10亿美元。
与请求的其余部分匹配
轮换是标准解决方案,常用工具也都支持它。Python 库 fake-useragent 会提供新的字符串;Scrapy 中间件、Selenium 和 Puppeteer 都可以按请求或会话更换用户代理。但这里有个容易让新手犯错的地方:用户代理只是众多请求头中的一个。如果你在 Windows 系统上轮换用户代理,使其显示为 Chrome 浏览器,而其他请求头、TLS 握手以及 JavaScript 环境仍然显示“自动化脚本”,那么你并没有真正融入系统,反而把自己置于一个封闭的环境中。只有当整个请求与用户代理所传递的信息一致时,轮换才能真正发挥作用。
当随机用户代理损害您的隐私时
问题的核心在于:随机化用户代理是否会让你的在线身份更容易被追踪,而不是更难?通常情况下,答案是肯定的。
熵数学
隐私研究人员使用熵比特来衡量可识别性,比特数越多,表示该值越稀有,识别性也越强。根据电子前沿基金会(EFF) 的数据,仅用户代理平均就包含约 10.5 比特的信息,这意味着大约每 1500 个浏览器中只有一个会共享同一个字符串。对于一个请求头来说,这已经包含了大量的识别信息。EFF 的一项更广泛的研究发现,将用户代理与其他一些可读信号结合起来后,84% 的浏览器都拥有完全独特的指纹。用户代理并非完整的指纹,但它却是其中至关重要的一部分。
一致性陷阱
现在再加上随机化。网站不仅读取你的头部信息;页面上的 JavaScript 还会读取你的 Canvas 渲染、WebGL 数据、字体、时区和屏幕尺寸。即使头部信息发生变化,这些信息也不会改变。因此,如果你的用户代理突然声称是 iPhone Safari,而其他所有信号仍然显示为 Windows 桌面,你并没有隐藏身份——你制造了一个任何真实设备都不会出现的矛盾。检测系统最喜欢这种做法。2024年一项针对规避型机器人流量的研究发现,检查指纹不一致性可以将机器人成功规避的次数减少近一半。在其他特征始终不变的设备上,用户代理不断变化并非伪装;这就像一个闪烁的指示灯。这就是为什么 Tor 浏览器采取了与随机化截然相反的做法:它为每个用户提供相同的用户代理,这样就不会有人显得与众不同。
| 方法 | 隐藏 UA 字符串 | 与其他信号匹配 | 融入人群 |
|---|---|---|---|
| 单个固定真实 UA | 不 | 是的 | 有些 |
| 随机 UA 扩展 | 是的 | 不 | 不 |
| 全套防检测指纹 | 是的 | 是的 | 是的,按个人资料 |
| Tor 统一 UA | 不 | 是的 | 是的,这是有意为之。 |
Chrome 和 Tor 如何终结用户代理游戏
平台本身早在几年前就认定用户代理是一个糟糕的标识符,并从两个截然相反的方向着手解决这个问题。
谷歌曾开展一项名为“用户代理精简”(User-Agent Reduction )的多年项目,该项目已于 2023 年 Chrome 113 版本中完成。现在,Chrome 会冻结用户代理字符串中的详细部分:次版本号显示为 0.0.0,Android 设备型号简化为通用的“K”。这些细粒度数据被转移到一个名为“用户代理客户端提示”(User-Agent Client Hints)的新型权限控制系统中。在该系统中,网站必须主动请求才能获取这些信息,而不是默认读取。此举旨在明确减少用户代理作为被动跟踪工具的可能性。
Chrome 的普及程度让这一点更加显而易见。Chrome 占据了 全球浏览器市场约 70% 的份额,其默认的 URL 字符串如今已成为大量真实用户发送的内容,因此模仿它能让你融入庞大的用户群体,而随意更改 URL 则会适得其反。
Tor 采取了另一条路。它没有缩短字符串,而是将其标准化,为每个 Tor 用户分配相同的用户代理,这样请求头就不会泄露任何区分用户的信息。两种方法都认同随机切换用户所忽略的一点:隐藏身份的方式是让自己看起来和其他人一样,而不是让自己看起来不像任何人。
随机化能提升你的在线隐私吗?
简而言之:通常不会。对于日常浏览而言,随机用户代理很少能提升你的在线隐私,反而可能悄悄地损害你的隐私。它只会让你的指纹信息中的一个信号产生抖动,而其他部分却纹丝不动。想要减少追踪器?像 Tor 或强化版 Firefox 这样专为此设计的浏览器,其防护效果远胜于简单的头部替换。
网页抓取颠覆了这种逻辑。在网页抓取中,旋转并非可选项,而是至关重要的环节,但它只是请求的一部分,而请求头、时间以及浏览器环境共同揭示了一个完整的信息。同样的工具,却得出了截然相反的结论。归根结底,这取决于你实际想要做什么。
随机用户代理能做什么和不能做什么
随机用户代理对于某些任务来说是利器,而对于另一些任务则显得笨拙。它会轮换服务器首先检查的那一行信息,这正是大规模数据抓取所需要的,却恰恰是普通隐私保护所不需要的。错误在于将一个请求头当作伪装——而它只是浏览器在每个页面上发出的长篇声明中的一行。如果你想隐藏自己,那就融入其中:匹配所有信号,或者加入一个看起来千篇一律的人群。如果你想抓取数据,可以自由轮换,但要确保请求的其余部分表达相同的信息。因此,在安装下一个切换器之前,请扪心自问:你想看起来像所有人,还是想与任何人都不一样?
