广告是现代互联网的常态。它们让内容得以免费呈现，却往往以牺牲用户隐私为代价。在 Mozilla，我们坚信存在更优解决方案。我们深知，依赖收集和流转个人数据的广告会带来侵扰感——因此我们选择了一条不同的道路：构建一套从根本上避免此类行为、守护用户隐私的广告系统。我们的目标是让广告精准而不突兀，同时创造可持续收益，以保持 Firefox 的独立发展并与使命同行。

本文将阐述当前广告在 Firefox 中的运作方式，包括我们使用的有限信号及其缘由。虽然技术细节会随着我们的学习与优化持续演进，但我们对 Mozilla 隐私保护原则 的承诺始终如一。

掌控您的广告体验

您可随时关闭 Firefox 中的广告功能，具体操作方法在此说明。我们还提供了屏蔽单条广告或举报广告的工具。我们对合作广告主严格筛选，仅允许符合 Mozilla 品牌理念与价值观的广告内容。守护您的体验不仅意味着赋予控制权，更确保您看到的广告符合我们设定的标准。

开源透明

Firefox 是开源项目。决定广告运作方式的核心技术组件均对社区透明开放，供公众监督理解。 广告系统中如商业条款等未公开内容，因其不涉及技术实现机制。对用户和开发者而言，真正重要的是这些透明要素：Firefox 源代码、数据流向机制，以及内置于设计中的隐私保护措施。

隐私保护

隐私是我们广告方案的基石，正如其对整个 Firefox 的意义。广告主无需知晓您的身份即可触达目标人群，我们绝不允许其在互联网上追踪您的行为。这意味着不使用第三方 Cookie 与设备标识符。这与我们在整个 Firefox 中推行 数据收集 的原则一致——仅收集必要数据，绝不多取。我们绝不会出售或共享您的个人数据。

当前广告主仍试图通过跨站直接追踪、浏览器指纹识别、基于设备特征的恶意广告等手段识别用户。以下章节我们将逐项解析这些行为，并说明我们采取的防护措施。

1) 阻止跨站跟踪

我们的解决方案：消除跨站标识符并将网络信号视为敏感信息。广告投放应在无需用户级标识、不暴露真实IP地址的情况下正常运作。

与常规做法的差异

• 多数发布商：直接发送真实用户IP至广告请求
• 注重隐私的发布商：发送前对IP进行截断处理（如隐藏末段 → 192.0.2.xxx）
• Mozilla方案（更进一步的保护）：用MozillaIP池生成的代理IP替代真实IP，该IP仅对应大致区域，由大量用户共享且不固定绑定单个用户

Mozilla广告系统绝不使用：

• 用于广告投递的第三方Cookie
• 设备标识符（如移动广告ID）
• 用户唯一标识符

IP与定位：我们如何保护您的IP地址（及为何仍需使用IP）

基础功能（如欺诈检测和区域化广告展示）需要特定网络信号。由于IP地址可能成为软性标识符，我们始终将其视为敏感信息：

• 请求经由Mozilla路由：广告请求源自Mozilla管控的基础设施，而非您的设备。广告采购系统（如交易平台/SSP）不会在广告请求中获取您的真实IP
• 粗粒度区域映射：我们使用您所在城市/都会区范围的Mozilla运营IP进行替换，既能保持广告区域相关性、执行完整性验证，又不会暴露您的精确位置
• 共享式非个人化：替换IP由大量用户共享使用，且不固定绑定单一用户，无法成为持久性标识符
• 排除精确定位：绝不发送GPS坐标或街道级定位信息，提供的任何位置信息均为基于受保护IP推导的粗粒度数据

此举在彻底移除竞价流中真实IP的同时，保留了最低限度的必要功能（如城市级广告定向、基础反欺诈检测）。这正是即便在最注重隐私的发布商中，我们的解决方案仍具创新性的原因。

成效体现：广告主无法通过Cookie、设备标识符或用户ID跨站追踪您；采购方无法获取真实IP；所有使用的信号均为粗粒度、共享式且非稳定的——从根源降低您的数据在生态系统中被累积或跨数据集核验的可能性。

2) 反浏览器指纹追踪

问题本质：即使没有Cookie或设备标识符，某些广告系统仍会尝试通过组合大量细微特征（如设备或浏览器特性）来识别浏览器身份，这种行为被称为浏览器指纹追踪。

我们的解决方案：让您的浏览器融入群体特征，并在广告数据流中排除高信息熵的细节参数。

具体措施：

• 标准化User Agent：统一用户代理字符串格式，避免特殊配置被识别
• 信号最小化：广告请求仅包含低风险的必要字段（如单一场景分类、粗粒度区域），杜绝传输高信息熵的设备细节
• 新标签页禁用广告端JavaScript：在此场景禁止广告自主运行脚本，阻断常见主动式指纹采集
• 广告投放不采用人口统计数据：绝不收集或共享年龄、性别等个人特征用于广告
• 请求头净化：对敏感头部信息进行标准化处理，降低可识别性

实施效果：广告主无法通过设备/浏览器特征准确识别您的身份，广告在实现功能的同时杜绝监控行为。

3) 防范恶意广告

问题本质：“恶意广告”指广告试图运行危险代码、强制跳转、窃取数据或伪装成可信界面，其主要传播载体是随广告创意投放的第三方JavaScript。

我们的方案：广告绝不允许自行运行第三方代码。所有广告均以纯数据形式通过Mozilla运营的广告路由服务投递，并由Firefox本体完成渲染，从而阻断外部广告JavaScript的执行。

具体措施

• 纯数据投递：广告以JSON格式而非第三方HTML/JS代码包形式送达Firefox新标签页
• Mozilla中介层：Firefox客户端永不直连外部广告网络，所有请求均经由Mozilla管控的广告路由服务，该服务会强制执行策略并剥离动态代码路径
• 严格JS边界：仅运行Firefox自有代码，新标签页中禁止执行广告创意提供的JavaScript，从根本上切断恶意软件与追踪脚本的主要传播渠道
• 受控渲染机制：Firefox使用自有HTML/CSS/JS将广告数据转化为可视化内容，维持统一且可审计的执行环境
• 创意与需求方审核：仅接受可信广告源，并执行符合Mozilla价值观的品牌/品类标准
• 用户控制权：支持手动关闭或举报广告，我们对违规创意或采购方实施快速审查与封禁

与行业常规做法的差异 当前广告业普遍将创意以HTML/CSS/JavaScript形式直接投送至用户浏览器运行（通常通过标签/iframe）。相比之下，Firefox通过Mozilla运营的代理服务接收纯数据广告，且仅执行Firefox自有JS。此举显著降低恶意软件风险，并彻底切断第三方追踪的主要途径。

实施成效：Firefox新标签页的广告将安全性置于第三方交互性之上。我们持续评估未来是否在保持同等防护力度的前提下，引入有限度的隐私保护型交互功能。

Mozilla广告数据运用准则

我们仅使用经过隐私保护处理的最低限度信号——刚好满足广告投放与场景适配需求。无关或突兀的广告对任何人都没有价值。我们绝不会出售或共享您的个人数据。

我们发送的数据（为保持相关性与完整性而最小化）

• 场景类别（单一分类）：仅发送版位的单一IAB分类（如“体育”或“骑行”）。不传输网页URL或完整内容，单次请求绝不包含多个分类。
• 粗粒度区域：城市/都会区级别的定位，确保广告基本地理相关性——无GPS或街道级精度。
• 基础投放参数：渲染广告所需的非标识性细节（如广告位尺寸）及受隐私保护的网络信号（参见上文IP与定位章节）。
  • 标准化用户代理：用户代理字符串通常包含浏览器版本、操作系统与设备类型。多数广告系统直接透传此信息，导致更易被指纹追踪（参见上文反指纹保护）。Firefox会对用户代理字符串进行脱敏处理以降低独特性：
    • Firefox版本：若您使用旧版，我们统一标注为“当前最新版减一”；若使用新版则标注最新版本号。
    • 操作系统：仅提供主流平台的广义操作系统类型，不暴露详细系统信息。
    • 此项措施能防止广告主通过特殊配置识别您的设备特征。

广告数据排除清单

• 不读取浏览历史：广告请求绝不包含 Firefox 历史记录、书签、已打开标签页或搜索内容。
• 不使用跨站标识符：禁止使用第三方 Cookie、设备 ID 及用户唯一标识符。
• 不采集个人画像数据：不收集或共享年龄、性别等人口统计特征用于广告投放。
• 不构建身份图谱：Firefox 广告系统既不使用哈希处理邮箱，也不参与跨站身份关联体系。
• 禁用精确定位/真实IP：广告请求中彻底排除 GPS 坐标与真实 IP 地址。

如何优化您的体验

通过使用有限且可预测的信号，我们能在避免过度收集数据的前提下，呈现值得您关注的关联广告。这种平衡既提升了用户体验，又将数据使用严格限制在 Mozilla 可控范围内。

我们的承诺

广告生态长期信奉“数据越多越好”的准则，我们对此持反对态度。我们绝不出售或共享您的个人数据，您始终拥有控制权——可随时关闭广告、屏蔽单个广告或进行举报。我们仅采用经过隐私保护处理的最低限度信号，确保广告值得您投入注意力而非牺牲数据安全。虽然逆行业主流而行道阻且长，但保持独立正是我们的立身之本。我们坚持此举，既为维持 Firefox 可持续发展，更是为践行 Mozilla 守护健康开放互联网的使命。此方案在保障 Firefox 运营的同时，恪守我们对用户的初心，持续助力开放、普惠的互联网建设。