LINGYANG 面向敏感财务文件设计:转换在浏览器中运行,OCR 在你的设备上运行,本地模式下对账单内容不会发送到转换服务器。
最后更新:2026 年 7 月 2 日
本地模式下,对账单内容绝不会被传输。网站可能会为页面交付、匿名分析、支付处理和授权验证发出单独请求,但这些请求绝不包含对账单内容。
扫描 PDF 和图片使用随应用自托管的 Tesseract.js 资源在浏览器中识别。目前没有云端 OCR 子处理商。
启用 Pro 时,浏览器会把授权码发送给 Gumroad 验证。请求不包含对账单内容。
公开应用以静态资源方式提供,降低转换数据相关的服务端攻击面。
部署站点通过 Cloudflare Pages 使用 CSP、HSTS、框架保护和权限限制响应头。
自动化测试覆盖解析、导出、SEO 元数据和隐私文案。发布前运行依赖审计。
当前未启用云端 OCR。如果未来添加云端 OCR,上传、OCR 和下载链路必须作为独立安全产品设计,并在接受任何生产文件前通过这套上线门槛。 这符合 OWASP 文件上传备忘单建议的防御思路:验证文件类型、扩展名、大小和存储位置,并隔离上传文件。
| 控制项 | 云端 OCR 上线前必须实现 |
|---|---|
| 文件身份 | 同时校验允许的扩展名和服务端识别的真实 MIME/magic bytes,不能只信任客户端请求头或扩展名。 |
| 大小和结构限制 | 解析前限制文件大小、PDF 页数、图片尺寸、对象数量和解压后大小/压缩比。 |
| 压缩和容器文件 | 拒绝异常压缩包、压缩炸弹、嵌套容器和畸形压缩流。 |
| 私有存储 | 上传文件必须存放在公开 Web 根目录之外,并使用不包含原始文件名的随机对象名。 |
| 签名访问 | 上传和下载都使用短期签名 URL;禁止公开 bucket 读取和永久文件 URL。 |
| 访问控制 | 只有已认证或已授权用户可以上传;状态查询和下载请求也必须再次校验授权。 |
| 恶意文件处理 | 对 PDF、图片和 Office 文件尽可能进行杀毒、沙箱检测或内容拆解与重建。 |
| OCR 隔离 | OCR worker 必须运行在默认禁止外联的容器中,只允许访问最小必要的内部服务。 |
| 资源限制 | 为每个任务设置 CPU、内存、总耗时、并发和队列限制,并防止 PDF 解析器资源耗尽。 |
| 删除和留证 | 自动删除上传文件、衍生文件和导出文件;删除任务必须写入不含内容的验证记录。 |
| 安全日志 | 日志不得保存原始文件名、交易文本、对账单内容、金额或账号。 |
| 接口防滥用 | 按 IP、授权/用户和任务状态限制上传、OCR、状态查询和下载接口频率。 |
| 依赖维护 | 定期更新 PDF、Excel、图片解析依赖、OCR 镜像和容器基础镜像,并运行依赖审计。 |
| 安全测试 | 上线前测试 polyglot 文件、MIME 伪造、畸形 PDF、超大 PDF、图片炸弹、压缩炸弹和超时路径。 |
本地模式下,对账单内容绝不会被传输。网站可能会为页面交付、匿名分析、支付处理和授权验证发出单独请求,但这些请求绝不包含对账单内容。
云端 OCR 必须作为独立上传安全产品发布,先实现真实 MIME 校验、文件和页数限制、随机私有存储、短期签名 URL、隔离 OCR 容器、资源限制、删除留证、安全日志、限流和解析依赖更新。
不会。对账单文件、OCR 图片、提取行和导出文件都不会用于训练 AI 或机器学习模型。
请发送邮件到 support@antelope.tools,包含清晰描述、受影响 URL 和复现步骤。请不要访问或修改他人的数据。