本地优先运行方式
大多数工具在浏览器中处理输入和输出。需要外部请求的工具会在联网前明确标记。
先按本文步骤排查,再用文中的工具快速验证结果。
byteflow.tools
了解 byteflow.tools 如何标记浏览器本地工具、外部请求、敏感输入、存储、分析、PWA 缓存、安全响应头和漏洞报告流程。
大多数工具在浏览器中处理输入和输出。需要外部请求的工具会在联网前明确标记。
外部请求工具会说明域名、用途,以及浏览器可能发送的数据类型。
应用使用明确的信任标签、兼容 CSP 的渲染策略,并提供公开的漏洞报告通道。
工具运行时会在当前浏览器标签页中转换输入和输出,不依赖工具处理后端。
当出现此标签时,应用外壳和工具代码加载后,核心流程可以在无网络时继续使用。
工具只会为列出的用途访问披露的网络目标,并且只在你执行该外部操作后发生。
这类工具经常处理 token、密钥、日志、证书、URL 或文件,粘贴生产数据前应先验证运行边界。
使用浏览器 Network 面板确认工具是否保持本地处理,或是否发起已披露的外部请求。
此表由工具 manifest 自动生成,使信任中心、隐私政策和工具徽标保持一致。
| 工具 | 域名 | 用途 | 发送的数据 |
|---|---|---|---|
| Instagram 图片下载器 | instagram.com | 在你确认有权使用后,从你提供的 URL 下载媒体。 | 你提供的 URL 可能会由浏览器请求。 |
| Vimeo 缩略图提取器 | vimeo.com, player.vimeo.com, vumbnail.com | 根据你输入的视频链接生成并预览公开缩略图地址。 | 浏览器可能会请求派生出的公开资源 URL。 |
| YouTube 缩略图提取器 | youtube.com, youtube-nocookie.com, youtu.be, i.ytimg.com | 根据你输入的视频链接生成并预览公开缩略图地址。 | 浏览器可能会请求派生出的公开资源 URL。 |
本地存储仅用于主题、语言、侧边栏状态、最近工具 ID 和本地预设等安全偏好。工具 payload、token、日志、文件内容和生成输出默认不得持久化。
分析仅限页面访问量和安全事件名等聚合产品信号。工具输入、输出、JWT、密钥、日志正文、文件内容、图片内容、搜索原文和完整 URL 都不是分析字段。
PWA 可缓存应用外壳、静态资源、图标和工具代码块以支持离线使用。它不得缓存工具输入、工具输出、上传文件内容或外部请求响应。
安全头检查覆盖传输安全、引用来源策略、内容类型嗅探、权限策略、frame 限制、object 来源,以及避免任意脚本来源的 CSP。
预览 Markdown、HTML、SVG 或元数据的工具应清理用户可控标记,并且不能为了预览功能放宽 CSP。
请通过 GitHub Security Advisories 或仓库 issue 流程报告疑似漏洞。不要在公开报告中包含生产密钥或私有 payload。
不是。浏览器本地工具在资源缓存后可继续离线使用,但标记为外部请求的工具需要网络来完成已披露的操作。
工具 payload 默认不应被保存。存储只限安全偏好和不包含敏感 payload 的本地预设。
查看工具信任头和此处生成的外部请求表,并在 DevTools 中确认网络访问只在你明确操作后开始。