提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
安全如何在Google Chrome中屏蔽广告:完整技术指南
在Google Chrome中屏蔽广告可以消除侵入性广告、拆解跨站追踪基础设施、防止通过恶意广告注入恶意脚本,并可显著缩短页面加载时间。最有效的架构是将Chrome原生的Better Ads Standards执行机制与专用浏览器扩展(特别是uBlock Origin)相结合——后者基于社区维护的过滤列表系统,能够在HTTP请求层面同时屏蔽广告服务器、追踪域名和恶意软件主机。
本指南按有效性和技术深度对所有可用方法进行排序,涵盖:Chrome内置合规过滤器、浏览器扩展、DNS层面的流量拦截,以及Android和iOS平台的专属解决方案。每个章节均包含配置步骤、架构权衡分析,以及标准指南通常忽略的失效场景。
为何广告拦截是安全决策,而非个人偏好
现代广告网络的运作范围远不止于展示横幅广告。实时竞价(RTB)生态系统在每次页面加载时注入数十个第三方JavaScript载荷。每个载荷都具备浏览器指纹识别、光标移动追踪、表单数据采集的能力,并可通过恶意广告(malvertising)投递路过式恶意软件——攻击者通过购买合法广告位来投放利用未修补浏览器漏洞的攻击代码。
普林斯顿大学WebTAP项目在超过100,000个网站的广告网络中发现了嵌入式会话回放脚本。这些脚本在未获得用户明确同意的情况下,在标准页面交互之下隐蔽运行,记录每一次按键和鼠标移动。
从纯性能角度来看,2023年HTTP Archive分析发现,在广告支持的新闻网站上,与广告相关的JavaScript占页面总体积的30–40%——这一载荷直接拉长了可交互时间(TTI),并推高了移动数据消耗。因此,威胁模型具有两个截然不同的维度:用户体验下降和主动安全暴露。以下方法将系统性地解决这两个问题。
一个关键但常被忽视的维度是广告网络自身的供应链风险。一个遭到入侵的广告网络CDN可以同时向所有依赖它的发布商传播恶意载荷——而这一波及范围不受任何单一网站运营者的控制。这并非理论上的担忧;有据可查的事件包括2016年DoubleClick遭入侵事件,以及通过Google Display Network广告库存发动的多次恶意广告活动。将广告拦截视为安全控制措施而非便利功能,是在技术上站得住脚的立场。
方法一:Chrome内置广告过滤器(Better Ads Standards)
Chrome的原生广告过滤器并非传统意义上的内容拦截器。它是一种与Coalition for Better Ads标准挂钩的站点级合规执行机制。Chrome不会拦截单个广告请求,而是评估某个域名是否已累积足够多的违规记录,若达到阈值则屏蔽该域名上的所有广告网络资源,直至其通过重新审核。
拦截范围:
- 由任何用户交互触发的弹出广告
- 启用声音的自动播放视频广告
- 大型粘性或固定位置广告
- 带有倒计时的预置广告
- 移动端全屏滚动覆盖广告
不拦截范围:
- 符合规范的展示广告、横幅广告和赞助内容
- 第一方追踪像素和分析信标
- 以编辑内容形式呈现的原生广告
- Google自有广告网络(其设计上符合规范)
这使得Chrome内置过滤器仅是一项基础卫生措施,而非主要防御手段。它无法有效减少合规网站上广告基础设施带来的追踪或性能负担——而这类网站占高流量域名的绝大多数。
启用Chrome内置广告拦截器
第一步:导航至`chrome://settings/`,或打开三点菜单并选择”设置”。
第二步:前往隐私和安全 > 网站设置,向下滚动至其他内容设置,选择广告。
第三步:选择“在显示侵入性或误导性广告的网站上屏蔽(推荐)”。这是大多数Chrome安装的默认状态。如果显示”在所有网站上允许”,请立即切换。
第四步:返回网站设置,找到弹出式窗口和重定向,将其设置为已屏蔽。这可以抑制JavaScript触发的`window.open()`调用和重定向链——这是被广告软件感染的网站用于产生强制展示的主要机制。
方法二:浏览器扩展——主要防御层
浏览器扩展在HTTP请求被发送至远程服务器之前,于HTTP层面拦截网络请求。这一架构位置从根本上比Chrome内置过滤器更为强大,因为扩展可以:
- 按名称屏蔽单个广告服务器主机名
- 注入CSS,即使请求漏网也能从视觉上隐藏广告容器
- 在页面资源加载前重写或剥离URL中的追踪参数
- 在不禁用全局保护的情况下,应用动态的按域名规则
主流广告拦截扩展对比
| 扩展 | 过滤引擎 | 过滤列表支持 | 内存占用 | 追踪保护 | 开源 |
|---|
| — | — | — | — | — | — |
|---|
| uBlock Origin | 自有(uBO) | EasyList、EasyPrivacy、uBO过滤器、自定义 | ~40 MB | 是(可启用严格模式) | 是(GPLv3) |
|---|
| AdBlock | Adblock Plus引擎 | EasyList、自定义 | ~60–80 MB | 部分 | 部分 |
|---|
| AdGuard浏览器扩展 | 自有(AG) | AdGuard基础列表、EasyList、自定义 | ~50 MB | 是 | 是(GPLv3) |
|---|
| Ghostery | 自有 | 专有 | ~35 MB | 强 | 部分 |
|---|
| Brave Shields(内置) | 基于Rust | EasyList + Brave自定义列表 | 极小 | 强 | 是 |
|---|
关于AdBlock与uBlock Origin的关键架构说明:AdBlock参与了可接受广告计划(Acceptable Ads Program),该计划默认将特定广告网络列入白名单——包括Google自有广告库存。这并非安全功能,而是一种商业安排。uBlock Origin不参与该计划,对所有过滤列表中的主机名一律屏蔽,无一例外。对于优先考虑完整性而非商业妥协的用户,uBlock Origin是毫无争议的技术选择。
安装和配置uBlock Origin
- 打开Chrome,导航至Chrome网上应用店。
- 搜索“uBlock Origin”——验证发布者为Raymond Hill。历史上曾出现名称相似的仿冒扩展,其中包含恶意软件。
- 点击添加至Chrome,然后点击添加扩展程序确认。uBlock Origin图标将出现在Chrome工具栏中。绿色指示灯表示其在当前页面处于激活状态。
- 点击图标,打开控制面板,导航至过滤列表选项卡。
建议额外启用的过滤列表:
- AdGuard追踪保护——全面覆盖追踪器和分析域名
- Peter Lowe的广告和追踪服务器列表——抑制恶意软件域名
- uBlock Origin过滤器 – 烦恼项——移除Cookie同意横幅和GDPR弹窗
- OISD(完整版)——持续更新的社区维护拦截列表之一
确保为所有已启用的列表开启自动更新。过滤列表过时是广告拦截效果随时间下降的最常见原因——广告网络持续轮换域名,过时的列表在数天内便无法匹配新主机名。
高级配置:uBlock Origin中等模式
对于技术熟练的用户,中等模式默认屏蔽所有网站上的第三方脚本和框架。资源仅在经过明确的按域名白名单授权后才被允许加载。这种方式将浏览器遭受跨站脚本注入的攻击面降至接近零,代价是偶尔出现网站无法正常显示的情况,需要短暂的手动干预来识别并允许合法的第三方资源。
通过控制面板 > 设置 > 勾选”我是高级用户”启用此模式,然后在全局规则矩阵中配置默认屏蔽第三方脚本和第三方框架。按站点动态规则面板允许您重新启用特定来源,而不会禁用其他地方的全局保护。
大多数指南忽略的一个细节:在中等模式下运行时,从第三方来源加载的CDN托管字体和Web Worker也会被默认屏蔽。这会导致使用Google Fonts或类似服务的网站出现视觉异常。正确的处理方式是按站点将特定CDN来源列入白名单——而非全局禁用中等模式。在uBlock Origin的我的规则选项卡中维护个人白名单,可确保这些例外在浏览器重启后持续生效,同时不污染全局规则集。
安装AdGuard浏览器扩展
在Chrome网上应用店搜索“AdGuard AdBlocker”——验证发布者为Adguard Software Ltd.。点击添加至Chrome并确认。首次启动时,完成配置向导。
在保护设置下启用隐身模式。这将激活反指纹识别措施、WebRTC泄漏抑制和第三方Cookie屏蔽——这些功能超出了标准广告过滤的范畴。
方法三:DNS层面广告拦截——全系统覆盖
浏览器扩展仅保护通过Chrome传输的流量。更全面的架构使用基于DNS的过滤,在建立任何TCP连接之前拦截广告服务器的主机名查询。这为设备上的每个应用程序提供保护:所有浏览器、原生应用、后台服务和操作系统遥测。
选项A:带过滤功能的公共DNS解析器
在操作系统层面将系统DNS服务器替换为过滤解析器。
| 服务 | 主DNS | 备用DNS | 拦截内容 |
|---|
| — | — | — | — |
|---|
| NextDNS | 可配置 | 可配置 | 广告、追踪器、恶意软件、自定义类别 |
|---|
| AdGuard DNS | 94.140.14.14 | 94.140.15.15 | 广告、追踪器、钓鱼网站 |
|---|
| Cloudflare for Families | 1.1.1.3 | 1.0.0.3 | 恶意软件 + 成人内容 |
|---|
| Quad9 | 9.9.9.9 | 149.112.112.112 | 恶意软件、钓鱼域名 |
|---|
Windows系统:控制面板 > 网络和共享中心 > 适配器属性 > Internet协议版本4 > DNS服务器地址。
macOS系统:系统设置 > 网络 > 选择适配器 > 详细信息 > DNS选项卡。
重要限制:网络层面的DNS覆盖——在企业环境中很常见,部分ISP也会强制执行——可以将所有DNS查询重定向至未经过滤的解析器,从而悄无声息地绕过此配置。缓解措施是直接在设备上配置DNS over HTTPS(DoH)或DNS over TLS(DoT)。两者均对DNS流量进行加密,防止被拦截。Windows 11和macOS Ventura均在其网络适配器设置中原生支持加密DNS。
选项B:自托管Pi-hole或AdGuard Home
Pi-hole是一款开源DNS流量拦截工具,可部署在任何Linux系统上——本地网络中的树莓派,或用于远程及多站点部署的轻量级VPS托管实例。它为网络上所有设备解析DNS查询,并对匹配其拦截列表的任何主机名返回`NXDOMAIN`,在任何HTTP连接尝试之前于协议层面屏蔽广告服务器。
VPS托管Pi-hole的架构优势:
- 通过WireGuard VPN隧道充当整个网络的DNS解析器
- 提供集中式广告拦截,无需在每台设备上安装软件
- 同时覆盖智能电视、IoT设备、游戏主机和移动设备——这些设备均不支持浏览器扩展
- 管理控制台提供按客户端的查询日志,可识别具有异常出站流量模式的设备——这是超越广告拦截的重要安全附加功能
AdGuard Home是Pi-hole更现代的替代方案,内置DoH/DoT支持、更简洁的界面和按客户端过滤配置——同样可在VPS上以相同方式部署。
对于需要跨异构设备群进行策略管理、集中过滤的团队和家庭,运行AdGuard Home与WireGuard的VPS托管实例是最具运营合理性的架构。它彻底消除了按设备配置的问题,并将您的DNS解析基础设施置于自己的控制之下,而非依赖第三方。
大多数指南跳过的部署细节:在云VPS上运行Pi-hole或AdGuard Home时,必须将上游解析器配置为使用DoH或DoT,而非普通UDP 53端口。若不这样做,您的VPS提供商网络可以以明文形式观察所有DNS查询——这将使隐私保护的很大一部分效益付诸东流。Pi-hole(通过cloudflared作为DoH代理)和AdGuard Home(原生支持)均支持加密上游解析。请在向客户端设备开放解析器之前完成此配置。
方法四:Android Chrome上的广告拦截
Android版Chrome执行与桌面端相同的Better Ads Standards,可通过设置 > 网站设置 > 广告访问。但Android Chrome不支持浏览器扩展,这消除了桌面端最有效的拦截层。
选项A:Android上Chrome的原生网站设置
- 打开Chrome应用,点击三点菜单。
- 前往设置 > 网站设置 > 广告。
- 确认显示“在显示侵入性或误导性广告的网站上屏蔽”。
- 返回网站设置,确认弹出式窗口和重定向设置为已屏蔽。
这是最低限度的基础配置。它不提供请求级拦截,也不能防护合规的追踪基础设施。
选项B:Android版AdGuard(无需Root)
AdGuard的Android应用创建一个本地VPN隧道,拦截所有设备流量并通过其过滤引擎路由——无需Root权限。这为所有应用(而不仅仅是Chrome)提供相当于浏览器扩展级别的过滤。
直接从adguard.com下载,而非从Play Store下载。Play Store版本由于Google对过滤应用的政策限制而功能受限——这是一项刻意设置的平台约束,不适用于从官方来源侧载的APK。
在AdGuard应用中,启用DNS过滤并选择AdGuard DNS或NextDNS作为上游解析器,以实现叠加保护:通过本地VPN进行应用层过滤,加上针对绕过应用层检测的请求进行DNS层面拦截。
选项C:以Brave浏览器替代Chrome
Brave基于Chromium,与Chrome具有完整的渲染兼容性。其内置的Brave Shields在浏览器引擎层面而非扩展层面运行,无需任何额外安装或网络配置即可提供广告和追踪器拦截。对于不愿修改网络配置的Android用户,这是实现全面拦截阻力最小的路径。
方法五:iOS(iPhone和iPad)上的广告拦截
Apple的iOS架构明确禁止在iOS版Chrome中使用第三方浏览器扩展。iPhone上的Chrome运行在WebKit——Apple的渲染引擎——而非Blink上,驱动桌面Chrome拦截功能的扩展API并未向第三方应用开放。这是平台层面的限制,而非Chrome本身的局限。
选项A:Safari配合声明式内容拦截器
切换至Safari并从App Store安装内容拦截器:
- 从App Store安装AdGuard或1Blocker。
- 打开设置 > Safari > 扩展(iOS 15+)或旧版本上的内容拦截器。
- 启用已安装的内容拦截器开关。
iOS内容拦截器使用Apple的声明式内容拦截API,将过滤规则编译为静态JSON规则集,直接传递给浏览器引擎。在过滤过程中,扩展本身无法读取页面内容、网络请求或用户数据——从技术角度来看,这种架构比桌面扩展使用的程序式请求拦截模型更具隐私保护性。
权衡之处在于灵活性降低:与桌面端的uBlock Origin相比,动态规则、按站点覆盖以及部分外观过滤功能受到限制或约束。
选项B:通过配置文件实现系统级DNS过滤
iOS通过设置 > 通用 > VPN与设备管理安装的已签名配置文件,原生支持DoH和DoT。AdGuard提供可下载的DNS配置文件,无需在后台运行VPN应用即可激活系统级DNS过滤。
NextDNS同时提供iOS配置文件和原生应用,可在所有设备流量(包括应用内流量)上应用自定义过滤规则,且不会产生持久VPN隧道带来的电池消耗。对于不想切换浏览器的iOS用户,这是最实用的全面解决方案,因为它覆盖所有应用,而不仅仅是Safari。
已知失效场景和边缘情况
反广告拦截检测:越来越多的发布商部署JavaScript,通过检测外观过滤引起的DOM变化,或检查已知过滤列表特征的存在来识别广告拦截器。一旦检测到,便会显示付费墙或覆盖警告。uBlock Origin的”我是高级用户”模式结合Anti-Adblock Killer过滤列表,可在检测代码执行之前将其抑制,从而应对大多数检测脚本。
企业环境中的HTTPS检测冲突:执行SSL/TLS检测的企业代理会用自己的证书链替换远程服务器的证书。这可能干扰DoH/DoT解析器使用的证书固定,破坏依赖请求头检测的扩展过滤,并导致基于DNS的解决方案出现意外行为。在受管网络上部署系统级DNS更改之前,请务必与网络管理员确认。如果您的组织使用带cPanel的VPS或类似的托管基础设施,同样的证书链注意事项也适用于您通过其暴露的任何自托管解析器。
Manifest V3与扩展拦截的未来:Google已将Chrome扩展迁移至Manifest V3(MV3),以声明式规则集模型取代了`webRequestBlocking` API——后者是允许扩展实时拦截和取消网络请求的机制。uBlock Origin已发布uBlock Origin Lite作为MV3兼容版本,但其以降级模式运行:动态规则、中等模式以及部分外观过滤功能不可用或受到限制。
完整版uBlock Origin(MV2)在撰写本文时仍可在Chrome中正常运行,但随着Google完成MV3过渡,面临最终被弃用的风险。Firefox保留了完整的MV2支持,并承诺无限期维护,使其成为在拦截完整性为硬性要求时,基于扩展的内容过滤在技术上更优越的浏览器。从Chrome迁移至Firefox的成本较低,而长期能力保留的价值则相当显著。
分布式团队的VPS过滤:管理跨多个地点远程工作人员的组织,可在独立服务器上部署Pi-hole或AdGuard Home实例,并配合WireGuard VPN使用。所有公司设备通过中央解析器隧道传输DNS,无需按设备配置即可执行一致的过滤策略。查询日志提供对异常出站流量模式的可见性——这是超越广告拦截的次要安全效益。
针对本地解析器的DNS重绑定攻击:一个较少被讨论的失效场景是DNS重绑定,恶意网站导致浏览器向本地Pi-hole或AdGuard Home管理界面发出请求。缓解措施是在Pi-hole中启用“从不转发非FQDN查询”选项,并将管理界面绑定至localhost,而非面向局域网的IP。
过滤列表冲突和误报:在uBlock Origin中同时启用多个过滤列表时,规则冲突可能产生意外行为——一个列表屏蔽的主机名可能被另一个列表明确允许,结果取决于规则优先级。uBlock Origin通过在相同特异性级别上给予屏蔽规则优先于允许规则的方式解决冲突,但这种行为并不总是直观的。当添加新过滤列表后某个网站意外出现问题时,通过日志记录器(uBlock Origin控制面板中的时钟图标)审计活动规则是正确的诊断工具。
决策矩阵:选择合适的方法
| 场景 | 推荐方法 | 复杂度 |
|---|
| — | — | — |
|---|
| 桌面Chrome基础广告减少 | Chrome内置过滤器 + 弹窗拦截 | 低 |
|---|
| 桌面端全面拦截 | uBlock Origin(默认模式) | 低 |
|---|
| 桌面端最高安全态势 | uBlock Origin(中等模式)+ DNS过滤 | 中 |
|---|
| Android,不切换浏览器 | Android版AdGuard(本地VPN模式) | 低–中 |
|---|
| Android,愿意切换浏览器 | Brave浏览器 | 低 |
|---|
| iOS,任意浏览器 | Safari + AdGuard内容拦截器 + DNS配置文件 | 低–中 |
|---|
| 整个家庭或网络 | VPS上的Pi-hole或AdGuard Home + WireGuard | 高 |
|---|
| 企业或分布式团队 | 独立服务器上的集中式DNS过滤 | 高 |
|---|
技术要点总结
- 默认模式下的uBlock Origin在CPU和内存效率基准测试中优于所有竞争扩展,且比任何参与可接受广告计划的替代方案拦截更多内容。对于桌面用户,它在几乎所有情况下都是正确的起点。
- Chrome内置拦截器在域名声誉层面运作,而非请求层面。它不拦截合规广告网络,而这些网络占主要网站追踪和性能开销的大部分。将其视为备用手段,而非主要控制措施。
- DNS层面过滤是唯一能保护非浏览器流量的方法——包括应用、智能电视、IoT传感器和操作系统级遥测。将其与浏览器级拦截叠加使用,实现真正的纵深防御;对于高安全性环境,单独任何一层都不够。
- Manifest V3代表Chrome基于扩展的拦截能力的结构性削减。对完整广告和追踪器抑制有硬性要求的用户,应将Firefox作为长期平台进行评估。
- iOS Chrome无法通过任何方式扩展。在iOS上实现有意义的广告拦截,需要切换至带声明式内容拦截器的Safari,配置系统级加密DNS过滤配置文件,或两者兼用。
- 自托管解决方案无需信任任何第三方服务。Pi-hole或AdGuard Home配合社区维护的拦截列表(如OISD或Steven Black的统一hosts文件),可提供与商业过滤服务同等的保护,且完全不依赖外部数据。
- DNS重绑定缓解措施不可或缺,适用于任何在局域网上暴露本地解析器管理界面的用户。将界面绑定至localhost,并在上游解析器上启用DNSSEC验证。
- 过滤列表自动更新不是可选项。广告网络持续轮换基础设施。超过一周未更新的拦截列表将遗漏相当比例的活跃广告服务器主机名。像对待软件补丁一样对待过滤列表的时效性——将其视为常规运营要求,而非一次性配置步骤。
- 对于同时管理Web基础设施的组织,将集中式DNS过滤部署与在任何自托管解析器端点上正确配置的SSL证书相结合,可确保客户端设备与私有解析器之间的DoH流量经过身份验证,且无法被静默拦截或替换。
常见问题
uBlock Origin会拖慢Chrome吗?
不会——在独立基准测试中,它通过阻止数百个第三方广告和追踪器请求的发起,持续将页面加载时间缩短20–40%。其约40 MB的内存占用低于大多数竞争扩展,且通过减少网络和渲染工作量,所节省的资源远超其自身消耗。
启用广告拦截器会导致网站无法正常使用吗?
部分网站部署了反广告拦截脚本,当检测到过滤扩展时会触发付费墙或覆盖警告。对于您信任并希望支持的网站,uBlock Origin的按站点白名单——扩展弹出窗口中的电源按钮——可在不禁用其他地方全局保护的情况下,重新启用该域名上的所有内容。
Manifest V3过渡是否构成出于广告拦截目的离开Chrome的理由?
目前还不是,但这是一个合理的长期架构隐患。移除`webRequestBlocking`限制了扩展实时拦截和修改网络请求的粒度。Firefox明确承诺保留MV2支持,如果完整性是不可妥协的要求,它仍然是基于扩展的内容过滤能力最强的浏览器。
广告拦截器与隐私扩展在实际使用中有何区别?
广告拦截器主要针对广告网络主机名和外观广告容器。以隐私为重点的工具还针对追踪像素、浏览器指纹识别脚本以及用于跨站分析的第一方Cookie。正确配置的中等模式下的uBlock Origin涵盖了这两种功能——它实际上是一个集广告拦截和隐私加固于一体的工具。
我的ISP或企业网络能否覆盖基于DNS的广告拦截?
可以。网络层面的DNS覆盖可以将所有53端口查询重定向至未经过滤的解析器,从而悄无声息地绕过Pi-hole或AdGuard DNS配置。缓解措施是直接在设备上配置加密DNS解析器——DoH或DoT。或者,通过WireGuard VPN将所有DNS流量路由至运行私有解析器的VPS托管实例,可完全消除拦截向量,无论底层网络的DNS策略如何。