本地優先執行方式
大多數工具在瀏覽器中處理輸入和輸出。需要外部請求的工具會在連線前明確標示。
先依本文步驟排查,再用文中工具快速驗證結果。
byteflow.tools
了解 byteflow.tools 如何標示瀏覽器本地工具、外部請求、敏感輸入、儲存、分析、PWA 快取、安全回應標頭和漏洞回報流程。
大多數工具在瀏覽器中處理輸入和輸出。需要外部請求的工具會在連線前明確標示。
外部請求工具會說明網域、用途,以及瀏覽器可能送出的資料類型。
應用程式使用明確的信任標籤、符合 CSP 的渲染策略,並提供公開的漏洞回報管道。
工具執行時會在目前瀏覽器分頁中轉換輸入和輸出,不依賴工具處理後端。
當出現此標籤時,應用外殼和工具程式碼載入後,核心流程可在無網路時繼續使用。
工具只會為列出的用途存取披露的網路目標,且只會在你執行該外部操作後發生。
這類工具常處理 token、金鑰、日誌、憑證、URL 或檔案,貼上正式資料前應先驗證執行邊界。
使用瀏覽器 Network 面板確認工具是否保持本地處理,或是否發起已披露的外部請求。
此表由工具 manifest 自動產生,使信任中心、隱私政策和工具徽章保持一致。
| 工具 | 網域 | 用途 | 送出的資料 |
|---|---|---|---|
| Instagram 圖片下載器 | instagram.com | 在你確認有權使用後,從你提供的 URL 下載媒體。 | 你提供的 URL 可能會由瀏覽器請求。 |
| Vimeo 縮圖擷取器 | vimeo.com, player.vimeo.com, vumbnail.com | 根據你輸入的影片連結產生並預覽公開縮圖網址。 | 瀏覽器可能會請求衍生出的公開資源 URL。 |
| YouTube 縮圖擷取器 | youtube.com, youtube-nocookie.com, youtu.be, i.ytimg.com | 根據你輸入的影片連結產生並預覽公開縮圖網址。 | 瀏覽器可能會請求衍生出的公開資源 URL。 |
本地儲存僅用於主題、語言、側邊欄狀態、最近工具 ID 和本地預設等安全偏好。工具 payload、token、日誌、檔案內容和產生輸出預設不得持久化。
分析僅限頁面瀏覽量和安全事件名稱等彙總產品訊號。工具輸入、輸出、JWT、金鑰、日誌本文、檔案內容、圖片內容、搜尋原文和完整 URL 都不是分析欄位。
PWA 可快取應用外殼、靜態資源、圖示和工具程式碼區塊以支援離線使用。它不得快取工具輸入、工具輸出、上傳檔案內容或外部請求回應。
安全標頭檢查涵蓋傳輸安全、來源參照策略、內容類型嗅探、權限策略、frame 限制、object 來源,以及避免任意腳本來源的 CSP。
預覽 Markdown、HTML、SVG 或中繼資料的工具應清理使用者可控標記,且不能為了預覽功能放寬 CSP。
請透過 GitHub Security Advisories 或倉庫 issue 流程回報疑似漏洞。不要在公開回報中包含正式金鑰或私有 payload。
不是。瀏覽器本地工具在資源快取後可繼續離線使用,但標示為外部請求的工具需要網路來完成已披露的操作。
工具 payload 預設不應被保存。儲存只限安全偏好和不包含敏感 payload 的本地預設。
查看工具信任頭和此處產生的外部請求表,並在 DevTools 中確認網路存取只在你明確操作後開始。