Exécution local-first
La plupart des outils traitent les entrées et sorties dans le navigateur. Les outils avec requête externe sont signalés avant l’accès réseau.
Suivez d'abord les étapes du guide, puis vérifiez le résultat avec les outils liés.
byteflow.tools
Cette page explique comment byteflow.tools signale les outils exécutés dans le navigateur, les requêtes externes, les entrées sensibles, le stockage, l’analytics, le cache PWA, les en-têtes de sécurité et le signalement de vulnérabilités.
La plupart des outils traitent les entrées et sorties dans le navigateur. Les outils avec requête externe sont signalés avant l’accès réseau.
Les outils avec requête externe indiquent les domaines, le but et le type de données que le navigateur peut envoyer.
L’application utilise des labels de confiance explicites, un rendu compatible CSP et un canal public de signalement des vulnérabilités.
Le moteur de l’outil transforme l’entrée et la sortie dans l’onglet courant du navigateur, sans backend de traitement d’outil.
Quand ce label est présent, le flux principal peut continuer sans réseau après le chargement du shell applicatif et des modules de l’outil.
L’outil peut contacter une cible réseau déclarée uniquement pour le but indiqué et seulement après l’action externe que vous lancez.
Ces outils manipulent souvent des tokens, clés, journaux, certificats, URL ou fichiers. Vérifiez la frontière d’exécution avant d’y coller des données de production.
Le panneau Network du navigateur permet de confirmer si un outil reste local ou démarre la requête externe déclarée.
Ce tableau est généré depuis les manifests d’outils afin d’aligner le Centre de confiance, la politique de confidentialité et les badges d’outils.
| Outil | Domaines | But | Données envoyées |
|---|---|---|---|
| Extracteur de miniatures Vimeo | vimeo.com, player.vimeo.com, vumbnail.com | Générer et prévisualiser des URL d’images miniatures publiques dérivées du lien vidéo saisi. | Une URL de ressource publique dérivée peut être demandée par votre navigateur. |
| Extracteur de miniatures YouTube | youtube.com, youtube-nocookie.com, youtu.be, i.ytimg.com | Générer et prévisualiser des URL d’images miniatures publiques dérivées du lien vidéo saisi. | Une URL de ressource publique dérivée peut être demandée par votre navigateur. |
| Téléchargeur de photos Instagram | instagram.com | Télécharger un média depuis une URL que vous fournissez après confirmation de votre droit d’utilisation. | L’URL que vous fournissez peut être demandée par votre navigateur. |
Le stockage local est réservé aux préférences sûres comme le thème, la langue, l’état de la barre latérale, les IDs d’outils récents et les presets locaux. Les payloads d’outil, tokens, journaux, contenus de fichiers et sorties générées ne doivent pas être persistés par défaut.
L’analytics est limitée aux signaux produit agrégés comme les vues de page et des noms d’événements sûrs. Entrées, sorties, JWT, secrets, corps de journaux, contenus de fichiers, contenus d’images, texte de recherche et URL complètes ne sont pas des champs analytics.
La PWA peut mettre en cache le shell applicatif, les assets statiques, les icônes et les modules d’outils pour l’usage hors ligne. Elle ne doit pas cacher les entrées, sorties, contenus de fichiers téléversés ni réponses de requêtes externes.
Les contrôles d’en-têtes couvrent la sécurité du transport, la referrer policy, le sniffing de type de contenu, la permissions policy, les frame ancestors, les sources object et une CSP sans source de script arbitraire.
Les outils qui prévisualisent Markdown, HTML, SVG ou métadonnées doivent assainir le balisage contrôlé par l’utilisateur et ne pas assouplir la CSP pour faire fonctionner les aperçus.
Signalez les vulnérabilités suspectées via GitHub Security Advisories ou le processus d’issues du dépôt. N’incluez pas de secrets de production ni de payloads privés dans un rapport public.
Non. Les outils exécutés dans le navigateur peuvent continuer hors ligne après la mise en cache des assets, mais les outils marqués requête externe ont besoin du réseau pour l’action déclarée.
Les payloads d’outil ne doivent pas être stockés par défaut. Le stockage est limité aux préférences sûres et aux presets locaux sans payload sensible.
Consultez l’en-tête de confiance de l’outil et ce tableau généré, puis vérifiez dans DevTools que l’accès réseau ne commence qu’après votre action explicite.