安全和隐私控制

LINGYANG 面向敏感财务文件设计:转换在浏览器中运行,OCR 在你的设备上运行,本地模式下对账单内容不会发送到转换服务器。

打开转换器阅读隐私政策

最后更新:2026 年 7 月 2 日

现有控制

本地转换

本地模式下,对账单内容绝不会被传输。网站可能会为页面交付、匿名分析、支付处理和授权验证发出单独请求,但这些请求绝不包含对账单内容。

本机 OCR

扫描 PDF 和图片使用随应用自托管的 Tesseract.js 资源在浏览器中识别。目前没有云端 OCR 子处理商。

最小授权验证

启用 Pro 时,浏览器会把授权码发送给 Gumroad 验证。请求不包含对账单内容。

运营安全

静态应用表面

公开应用以静态资源方式提供,降低转换数据相关的服务端攻击面。

安全响应头

部署站点通过 Cloudflare Pages 使用 CSP、HSTS、框架保护和权限限制响应头。

依赖和回归检查

自动化测试覆盖解析、导出、SEO 元数据和隐私文案。发布前运行依赖审计。

云端 OCR 上线门槛

当前未启用云端 OCR。如果未来添加云端 OCR,上传、OCR 和下载链路必须作为独立安全产品设计,并在接受任何生产文件前通过这套上线门槛。 这符合 OWASP 文件上传备忘单建议的防御思路:验证文件类型、扩展名、大小和存储位置,并隔离上传文件。

控制项云端 OCR 上线前必须实现
文件身份同时校验允许的扩展名和服务端识别的真实 MIME/magic bytes,不能只信任客户端请求头或扩展名。
大小和结构限制解析前限制文件大小、PDF 页数、图片尺寸、对象数量和解压后大小/压缩比。
压缩和容器文件拒绝异常压缩包、压缩炸弹、嵌套容器和畸形压缩流。
私有存储上传文件必须存放在公开 Web 根目录之外,并使用不包含原始文件名的随机对象名。
签名访问上传和下载都使用短期签名 URL;禁止公开 bucket 读取和永久文件 URL。
访问控制只有已认证或已授权用户可以上传;状态查询和下载请求也必须再次校验授权。
恶意文件处理对 PDF、图片和 Office 文件尽可能进行杀毒、沙箱检测或内容拆解与重建。
OCR 隔离OCR worker 必须运行在默认禁止外联的容器中,只允许访问最小必要的内部服务。
资源限制为每个任务设置 CPU、内存、总耗时、并发和队列限制,并防止 PDF 解析器资源耗尽。
删除和留证自动删除上传文件、衍生文件和导出文件;删除任务必须写入不含内容的验证记录。
安全日志日志不得保存原始文件名、交易文本、对账单内容、金额或账号。
接口防滥用按 IP、授权/用户和任务状态限制上传、OCR、状态查询和下载接口频率。
依赖维护定期更新 PDF、Excel、图片解析依赖、OCR 镜像和容器基础镜像,并运行依赖审计。
安全测试上线前测试 polyglot 文件、MIME 伪造、畸形 PDF、超大 PDF、图片炸弹、压缩炸弹和超时路径。

常见问题

对账单内容会发送到 LINGYANG 服务器吗?

本地模式下,对账单内容绝不会被传输。网站可能会为页面交付、匿名分析、支付处理和授权验证发出单独请求,但这些请求绝不包含对账单内容。

如果未来增加云端 OCR,会发生什么变化?

云端 OCR 必须作为独立上传安全产品发布,先实现真实 MIME 校验、文件和页数限制、随机私有存储、短期签名 URL、隔离 OCR 容器、资源限制、删除留证、安全日志、限流和解析依赖更新。

LINGYANG 会用我的文件训练模型吗?

不会。对账单文件、OCR 图片、提取行和导出文件都不会用于训练 AI 或机器学习模型。

如何报告安全漏洞?

请发送邮件到 support@antelope.tools,包含清晰描述、受影响 URL 和复现步骤。请不要访问或修改他人的数据。