← 所有文章

怎么验证一个网页工具真的没上传你的文件(DevTools 手把手)

2026-05-30

*一句话答案:*打开浏览器的 DevTools,切到 Network(网络)标签,清空,然后用这个工具处理一个文件。如果文件从没离开你的浏览器,你会看到工具的代码在下载*——但看不到你的文件字节在上传*。下面是 60 秒版本,加上怎么看懂你看到的东西。

为什么「我们不存你的文件」不够

大多数「免费」在线文件工具,会把你的文件上传到服务器、在那边处理、再把结果传回来。它们的隐私政策也许承诺事后删除——但这是个你无法核实的承诺。「我们不你的文件」仍然意味着你的文件被传输过,并且以明文形式躺在了别人的机器上。一个你没法验证的保证不是隐私,是营销。

好消息是:现代浏览器自己就能干这些活——图像处理、PDF 渲染、用 WebAssembly 做视频编码,甚至用 WebGPU 跑神经网络。当一个工具在本地运行时,你的文件被读进浏览器标签页的内存、处理、再作为下载交还给你。它从不碰网络。而且和承诺不一样,这一点你一分钟内就能自己确认。

60 秒检查法(Network 标签)

  1. 在一个新标签页打开工具(比如图片压缩图片转文字)。
  2. 打开 DevTools——按 F12,或右键 → 检查。(Mac 是 Cmd+Opt+I,Windows/Linux 是 Ctrl+Shift+I。)
  3. 点 **Network(网络)**标签。
  4. 清空(🚫)图标抹掉已有请求,并勾上 Preserve log(保留日志),免得东西消失。
  5. 现在把文件丢进工具并运行。
  6. 看请求列表,按 **Size(大小)**排序。

你要找的是:一个上传你文件的请求会是 POST(或 PUT),且请求体大小约等于你的文件。上传一张 5 MB 的照片,你就会看到一个约 5 MB 的载荷往外发。如果唯一的大流量是工具自己的代码和 .wasm 文件往里下载——而且第一次跑完就停了(因为被缓存了)——那你的文件没动。

怎么区分「上传」和「正常流量」

不是每个请求都是危险信号。这些对一个 100% 本地的工具来说也很正常:

  • 代码和资源加载——JavaScript 包、.wasm 二进制(FFmpeg、Tesseract 之类)、字体、页面本身。这些是下载:响应有大小、请求体是空的,而且首次访问后会被缓存。
  • 分析和广告——发给 Google Analytics 或 AdSense 的小请求。很小,而且永远不含你的文件(它们做不到——你的文件不在任何它们够得着的变量里)。

才是危险信号:

  • 一个 POST/PUT,它的请求载荷大小约等于你的文件。打开这个请求的 Payload/Request 标签,你会直接看到那些字节,或者一个带着你文件名的 multipart 表单。
  • 一点「处理」就往一个意料之外的存储域名(某个 S3 桶、某个 CDN)上传。

经验法则:进来的是下载、没有大的上传出去 = 本地处理。

核武器选项:直接拔网线

如果你压根不想读请求日志,还有个谁都能做的更粗暴的测试:

  1. 先把工具页面加载一次,让它的代码下载完。
  2. 开飞行模式 / 关掉 Wi-Fi——或者在 DevTools 里把 Network 限速下拉框设成 Offline(离线)
  3. 运行工具。

如果离线还能用,它就物理上不可能在上传你的文件:根本没有连接可以上传。(少数工具会按需拉一个大的引擎文件——有些视频工具第一次会拉 FFmpeg。让那一次下载完成,然后断网再处理。)

那为什么这么多工具要上传?

老实说,因为服务器端更好变现。上传让公司能把功能锁进订阅、记录使用情况,最坏的情况下还能留着你的文件去训练模型。本地处理要更多工程:把 C 库编译成 WebAssembly、塞进浏览器的内存预算、放弃那份掌控力。这笔交易值,只因为一个原因——你的文件哪儿都不去,而且你不用信我,你可以盯着 Network 标签看。

这就是 ToolKoala 背后的全部想法:每个工具都在你浏览器里跑。随便打开哪个的 DevTools,自己查。

常见问题

「不上传」是不是意味着工具能离线用? 首次加载之后,通常是的。代码被缓存了,所以大多数工具没网也能用。少数按需拉大引擎的(某些视频工具)需要先完成那一次下载。

工具会不会偷偷用 WebSocket 或在后台把我文件传走? Network 标签也会显示 WebSocket 和后台 fetch/XHR 流量,连载荷一起。如果你文件的字节出去了,就会出现在那里。这正是关键:上传在 Network 标签面前无处可藏。

分析和广告算隐私问题吗? 它们看到的是标准的访问信号——大致位置、设备类型——不是你的文件。你的文件从不进入广告脚本够得着的变量,而且就算你屏蔽它们,工具照样能用。

这只适用于 ToolKoala 吗? 不。这个检查对任何网页工具都管用。在你把敏感文件交给任何一个「免费在线转换器」之前,先这么查一遍。

— Milo 🐨