HTML如何获取设备指纹摘要及浏览器信息

本文深入解析了如何在HTML中通过JavaScript安全、稳定地获取设备指纹摘要与浏览器信息，强调摒弃已失效的plugins/mimeTypes等旧字段，优先选用跨域可读、不触发权限弹窗的navigator.platform、hardwareConcurrency、screen尺寸及devicePixelRatio等高稳定性属性；同时指出userAgentData虽为新标准但受限于授权机制与浏览器兼容性，仅宜作补充校验；特别提醒隐私模式下colorDepth、字体API等易被篡改或禁用，需提前规避风险；最后倡导采用语义化dl列表组织输出结构，字段ID带唯一前缀并哈希处理动态时间值，确保前端采集结果清晰、可维护、易解析——真正实现“少而精、稳而准”的设备指纹实践。

怎么用 JavaScript 读取基础设备指纹字段

浏览器里没有现成的 navigator.getDeviceFingerprint() 这种 API，所有“设备指纹”都是拼凑出来的——靠组合 navigator、screen、performance 等对象的只读属性。关键不是“全量采集”，而是挑稳定、跨域可读、且不触发权限弹窗的字段。

常见错误是直接读 navigator.plugins 或 navigator.mimeTypes：Chrome 89+ 已默认返回空数组，Firefox 也限制了插件枚举；读 navigator.userAgent 虽然还能用，但 Chrome 正逐步降级为“冻结 UA 字符串”，返回的可能是泛化值（如 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36），丢失真实版本细节。

• navigator.platform 和 navigator.hardwareConcurrency 相对稳定，但注意 hardwareConcurrency 在某些 iOS Safari 版本中返回 undefined
• screen.width / screen.height 可用，但需注意单位是 CSS 像素，非物理像素；配合 window.devicePixelRatio 才能估算设备密度
• performance.now() 不参与指纹，但可用于检测是否在 iframe 中被 sandbox 隔离（若抛出 DOMException: Permission denied）

为什么 navigator.userAgentData 不是万能解

navigator.userAgentData 是 Chrome 101+ 引入的替代方案，目标是提供结构化、可控的 UA 信息，但它默认是“冻结”的，且需要用户主动授权（permissions.query({name: 'userAgent'})），实际调用时多数会返回 Promise.resolve({state: "denied"})。即使允许，它也只暴露 platform、mobile、architecture、model、uaFullVersion 五个字段，其中 model 在桌面端始终为空字符串。

更现实的问题是兼容性：userAgentData 在 Safari 和 Firefox 中完全不可用；Edge 基于 Chromium 的版本支持，但企业环境常禁用该 API。所以不能把它当主力字段，只能作为 navigator.userAgent 的补充校验项。

• 调用前必须检查 "userAgentData" in navigator，否则直接报 TypeError: Cannot read properties of undefined
• getHighEntropyValues() 是异步方法，必须 await，且传参必须是字符串数组，如 ["platform", "architecture"]；传错类型或非法字段名会静默失败
• 返回结果里的 platform 值和 navigator.platform 不一定一致（例如 macOS 上前者可能是 "macOS"，后者是 "MacIntel"）

哪些字段会因隐私模式或浏览器设置失效

隐身窗口、防追踪模式（如 Firefox 的严格跟踪保护）、或启用了 “Global Privacy Control” 标头的浏览器，会主动篡改或屏蔽部分指纹字段。典型表现是：同一台机器，正常窗口下 screen.colorDepth 返回 24，无痕窗口下变成 24 或 30（随机化），甚至返回 undefined。

更隐蔽的是字体枚举：document.fonts.check() 和 document.fonts.load() 在 Safari 私密模式下会被禁用，调用后 Promise 永远 pending；而 navigator.fonts（CSS Font Loading API）本身未被广泛支持，不能依赖。

• navigator.language 一般可靠，但某些企业浏览器会强制设为 "en-US"，掩盖真实系统语言
• localStorage 和 sessionStorage 在无痕模式下仍可用，但容量受限（如 Safari 无痕窗口限制为 5MB），写入大对象可能触发 QuotaExceededError
• WebGL 渲染器字符串（gl.getParameter(gl.RENDERER)）在 Brave 等隐私浏览器中会被统一替换为 "Google SwiftShader"，失去区分度

如何组织 HTML 输出结构才便于后续解析

不要把所有字段塞进一个