AdGuard 去除广告与 Clash 网络代理同时进行

# 不只是厌烦广告#

广告的存在必然是有它的合理性的。它能帮助生产者在别种渠道获取回报，以便支持他继续免费提供作品，或将价格降至更可接受的范围。但某些投放广告的方式实在不恰当，为了将利益最大化，不惜牺牲原有的体验，这总是很令用户反感的。不仅严重影响用户体验，还容易给用户留下负面印象，打击宣传效果。但是指望所有广告投放者严格规范自己行为、以符合标准的形式投放广告是不切实际的。毕竟在巨大的利益前，人都可以不当人。

借助各种广告拦截工具，很大程度上就是为了拦截这些侵入式的、扰人的广告。这不仅能够保障用户体验，还能节省带宽和性能开销。

但不止于此，AdGuard 还能胜任保护隐私的使命。也许你只是在搜索引擎中搜索了一份讲义，之后打开购物 App 全在给你推这方面的教材。对于比较在意个人隐私的人而言，这是不能容忍的。我希望尽可能少的隐私被他人掌握。

在拦截广告的同时，AdGuard 还可以对一些跟踪器进行拦截。当我们浏览网页时，不仅发送了请求，还传递了许多额外的信息。如访问时的 IP 地址、正在使用的浏览器和系统信息、语言首选项、前一个访问的网站，甚至读取 Cookie 得知更多有关的信息。广告联盟等通过这些信息确定「你」是你、建立关于你的模型，以便进行更个性化的推送。

为杜绝此类现象，AdGuard 不仅拦截跟踪器，还拦截某些不安全的接口、拦截网站之间的联系、伪造浏览器信息等。这些是单靠插件和规则很难做到的，也是我选择应用的一个原因。

# AdGuard 是怎么做好这件事的#

相较于传统去广告插件，AdGuard 在他们的 KnowledgeBase 知识库中也提到，AdGuard 主要通过以下三种方式实现去广告：

Request blocking：即按照规则阻止（Block）某些连接以达到去广告的目的。网页载入时，某些元素会请求（Request）其他资源。AdGuard 会根据规则检查请求，若命中广告或跟踪器等规则时便予以拦截，阻止其载入。
Page code filtering：在网页载入前，AdGuard 会先根据规则过滤一遍网页源码并去除其中包含广告等的代码。相比 Request blocking 让某些元素请求不到，Page code filtering 直接剥除部分代码，让广告根本不去请求。
CSS Injection and Javascript：有些广告是通过 JavaScript 动态插入网页的，无需请求外部资源。这样一来前两条便不起作用了，需要额外的操作。AdGuard 通过调整 CSS 和 JavaScript 针对这类广告更彻底的清除。

第一条很常见，而后两条由于浏览器插件限制，只能在客户端实现。在比如 HTTPS 过滤这些会在之后详细配置时再谈。

# 好好配置 AdGuard#

虽说 AdGuard 是付费应用，但也可不只是给钱办事就完事了。想要 AdGuard 发挥全部威力还需要好好配置一番。这里将以桌面端为例，介绍部分 AdGuard 功能，并给出我使用 AdGuard 保证上网体验和保护隐私的一个实践，希望能对你有所帮助。

AdGuard 团队仍在积极开发，AdGuard 软件 / 插件也在快速迭代。本文所提及的内容有一定时效性，最终以 AdGuard KnowledgeBase 为准。

# 选取合适的拦截规则#

绝大多情况下，拦截规则都是广告拦截工具的核心。拦截规则在 AdGuard 被称为广告拦截器，不仅有广告拦截，还能屏蔽跟踪器、社交媒体插件、恼人的弹窗等。不过要注意，虽然通过规则阻止部分元素加载理论上能够加快页面加载，但如果设置了过多的规则，每次都要进行大量比对，反而可能会适得其反。这里按需选取即可。

AdGuard 默认开启的拦截器不多，这里我开启了：

广告拦截
AdGuard 基础过滤器
EasyList
隐私
AdGuard 防护跟踪保护过滤器
EasyPrivacy
社交插件
AdGuard 社交媒体过滤器
Fanboy’s Social Blocking List（包含于 Fanboy’s Annoyances）
扰人的
AdGuard 扰人广告过滤器
Fanboy’s Annoyances
特定语言
AdGuard 中文过滤器
EasyList China

当然，即便如此还是可能会有「漏网之鱼」，可以借助「拓展 > AdGuard Extra」手动处理某些元素。

# 隐形模式充分保护隐私#

过滤器已能拦截部分跟踪器，而隐形模式才是专门涉及保护隐私的「大招」。尽管过滤器能拦截大部分网页跟踪器，但正如前面提到过的，「请求网页」这个行为本身就已经泄露很多信息了。隐形模式一步步帮你保护这些个人敏感信息。

# 常规#

先是 4 个常规选项，能够初步阻止一些跟踪：

隐藏您的搜索记录会隐藏你使用搜索引擎连入某网站的查询记录，从而使网站难以得知你的管用搜索引擎。

发送「请勿跟踪」请求，AdGuard 在请求网页时一并发送一个请勿跟踪的请求。部分浏览器里也有此项功能，不过即便请求了不要跟踪，最终还是取决于网站的意愿。

移除 HTTP 请求中的 X-Client-Data 数据头，使用 Chrome 浏览器请求任何和 Google 有关的网页时（包括 Double Click 和 Google Analyse），Chrome 浏览器都会把浏览器信息等一同传递给 Google。移除 HTTP 请求中的 X-Client-Data 数据头正是为了拦截这一项的数据。

剥离 URL 中的跟踪参数将会剥离 URL 里的跟踪参数，可以适当避免跨站跟踪情况的发生。同时允许手动配置跟踪参数实现自定义屏蔽。

# 跟踪方式#

紧接着，在跟踪方式里可以限制常见网页跟踪你的方法：

自销毁第三方 Cookie，Cookie 通常用于存储用户登陆信息等。而第三方 Cookie 指并非当前页面生成的 Cookie。即便生成 Cookie 的网站行为干净得体，但是这条 Cookie 被其他网站获取到也可能被滥用。相较于拦截第三方 Cookie，自销毁第三方 Cookie 不会导致第三方登陆失效（第三方登陆大多通过 Cookie 或授权头授权原网站）。我在此处将第三方 Cookie 超时时间上调至 4 小时。

自销毁第一方 Cookie，与前者很像，但是启用后同一网站超时后都需要重新登陆。带来许多不必要的繁琐，所以这里我将其保持关闭。

禁止缓存第三方请求，某些网站可能会在加载页面时加上电子标签（e-tags）。只要缓存未被清除，下次请求时这些标记就有可能一并发给服务端，从而泄露之后访问了哪些网站。

拦截第三方授权头，授权头主要用于登陆授权等，但是也能用于跟踪。且若使用 HTTP 未加密协议发送授权头还有可能导致密钥等重要信息的泄露。但拦截后可能导致某些应用、插件的工作。

# 浏览器 API#

这一项只影响浏览器，不影响其他应用。在此可以禁止某些有安全隐患的浏览器 API。

拦截 WebRTC，WebRTC 是一种实时通讯协议，但它可能绕过代理泄露真实 IP 地址。禁用后可能影响 Google Voice （特别是网页版）的正常使用。

拦截推送 API、拦截定位 API，这两个 API 分别用于管理浏览器推送和定位。由于我很少使用桌面端的地图以及完全不需要浏览器推送，所以完全禁用这两项。

拦截 Flash、拦截 Java，随着前端技术更迭，现在几乎所有网站都移除了 Flash/Java 的依赖。此外 Flash/Java 还有许多严重安全隐患，在 2020 年确实不该让浏览器继续支持它们。

# 杂项#

这部分选项必须包含在请求中，不能被禁止，但可以伪造。

隐藏您的第三方 Referrer 可以隐藏你是从哪里跳转过去的。我使用的第三方 Referrer 是 https://www.bing.com 。

隐藏您的 User-Agent，User-Agent 同样是包含在网页请求头中的，User-Agent 将暴露你所使用的浏览器信息、操作系统等。建议开启此项以使用默认替代信息。

隐藏您的 IP，由于我平时一直开启代理，而这项似乎并无太大作用，于是我将其关闭了。

此外，还有拓展、高级设置中某些项值得留意。例如 AdGuard Extra、使用重定向驱动模式都是我额外开启的。

# 移动端兼容代理与 HTTPS 过滤#

移动端配置项与桌面端大同小异，不再赘述。要注意的是为了更深层次地去广告，绝大多数去广告工具都需要借助系统代理。而如果你本身就有使用网络代理需求，那就比较麻烦了。AdGuard 专门针对此支持了转发至本地代理，这也是 AdGuard 最抓住我需求的一点。

# 兼容 Clash 网络代理#

网络代理工具选择的是 Clash For Android，它很好地支持了开启本地代理的同时不占用系统代理、向内部暴露并监听 DNS 端口。

如果你所使用的代理服务商不支持 Clash 订阅或者 Clash 配置中不含 DNS 配置，你可能需要借助公共 API 整理 Clash 配置文件。

# 利用 API 整理 Clash 配置文件#

基于 subconverter 项目，你可以在许多公共 API 上方便的整理 Clash 配置文件。特别的，你可以使用 subconverter 作者 TindyX 提供的公共 API 直接将订阅转换为带 AdGuard DNS 的 Clash 配置文件。

请确保 Clash 配置文件至少包含类似以下内容：

port: 7890
socks-port: 7891
dns:
 enable: true
 ipv6: false
 listen: 127.0.0.1:5450
 enhanced-mode: redir-host
 default-nameserver:
    - 119.29.29.29
    - 119.28.28.28
    - 1.0.0.1
    - 208.67.222.222
    - 1.2.4.8
  nameserver:
    - https://dns.alidns.com/dns-query
    - https://1.1.1.1/dns-query
    - tls://dns.adguard.com:853

其中，默认 DNS 监听端口（ dns.listen ）为 5450 、默认 HTTP 代理端口（ port ）为 7890 、默认 SOCKS5 代理端口（ socks-port ）为 7891 。这些参数之后配置时会需要用到。

# AdGuard 配置 Clash 转发规则#

首先，在「AdGuard > 侧边栏 > 应用管理」中对 Clash For Android 关闭通过 AdGuard 路由应用流量。

紧接着，将 Clash 配置导入 Clash For Android 后，在「设置 > 网络」中关闭「自动路由系统流量」以关闭 Clash For Android 的 VPN 模式。随后开启 Clash For Android 代理功能。

再到「AdGuard > 侧边栏 > 设置 > DNS > 选择 DNS 服务器」最下方「添加自定义 DNS 服务器」。名称任取、地址填写 127.0.0.1:5450 （取决于之前配置的 dns.listen 参数）。

返回到「设置」，继续点击「网络 > 代理」，在下方「+ 添加代理」。名称任取、方式选 HTTP （ SOCKS5 ）、地址填写 127.0.0.1 、端口填写 7890 （ 7891 ）。配置完毕后点击「保存并选择」并开启上方代理开关。

再回到「网络」，继续点击「过滤方式」，选择「本地 VPN」。之后回到主界面，开启主开关，便能在不影响原有代理的前提下享受 AdGuard 为你隐私保驾护航。

# 安装证书过滤 HTTPS#

AdGuard 支持在页面载入前过滤部分代码，但是 HTTPS 加密让 AdGuard 正常情况下无法在载入前得到具体内容，也就无从过滤了。AdGuard 通过安装证书解密流量（Surge/QuantimultX 也使用类似的思路过滤），但是 Target API 24（Android 7.0）以上的 App 不再认可用户证书。

对于已经刷入 Magisk 的用户，可以借助 Move Certificates 将证书转为系统证书，从而让 AdGuard HTTPS 过滤对所有 App 生效。

这应该是全篇唯一一个需要 root 的行为了

AdGuard 总是对几乎所有应用生效，这会一定的浪费性能。对于一些系统 App（电话、信息等）和一定不会有广告的 App，可以考虑关闭 AdGuard 过滤。

# 后续#

仔细思考下，AdGuard 作为一款付费去广告工具，其付费的合理性何在？为何不直接将一定费用支付给作者使其放弃投放广告，而偏偏选择支付给去广告工具，让作者得不到合理（也许有些是不合理）的收入。而且，去广告工具功能很快就会饱和，框架也会慢慢稳定下来，真正让去广告工具保持生命力的，或许是那一条一条的规则。

但不能就此否认 AdGuard 的贡献。即便它不是最老牌，即便它还有不足。

在我看来，去广告只是 AdGuard 中的一环，而且不是最重要的一环。「Guard」—— 守卫，对自己隐私的重视与不妥协，才似乎是它希望传递的主旋律。当相当一部分用户对自己隐私的无所谓，认为区区市井小民没必要为隐私下功夫，这是否在一定程度上促成某些不恰当的行为呢？

也许 AdGuard 并非最早实现这些特性的，但它怎么都是完成得非常出色的。它是第一个让我愿意和网络代理工具一起 7x24 后台常驻的、第一个让我在其他应用中