安全性
Escriba 生来就是为处理机密文档而打造的。其指导原则是:掌控权 始终留在人这一层 —— 你的文件在你自己的服务器上处理,由你来 决定哪些内容能抵达 LLM。
私密源于设计
Section titled “私密源于设计”- 不留存任何内容。 上传的文件在转换后立即删除。
- 没有第三方云。 转换、OCR、转写和脱敏都在 你的主机上本地运行。
- 还原映射表保持在本地。 假名化的 token→原值 映射表永远不会离开 你的浏览器。
- 失败即关闭的脱敏 —— 如果请求了脱敏而 Anonimal 服务无法访问,请求会报错;绝不会退而输出原始文本作为后备。
- 防 SSRF —— URL 抓取会拦截内部 IP 和重定向;本地文件和
file://访问仅限 DIOS。 - XSS 净化 —— 预览经 DOMPurify 净化;设置了严格的 Content-Security-Policy 和安全响应头。
- 限流与锁定 —— 按角色的请求限额,通过 嵌入式 Redis 在各 worker 间共享,外加重复失败后的登录锁定。
- 非 root 容器 —— 以无特权用户身份运行,并带有
no-new-privileges。 - 安全正则 —— 用户提供的脱敏规则运行在 RE2(线性时间)上, 它对 ReDoS 免疫。
- DoS 防护 —— 上传通过流式处理进行大小限制;页面选择器有上限, 以防范区间炸弹式展开。
代码库经历了一次严格的多视角审计和一次红队渗透测试,
其中每一项发现都已修复并验证。加固要点包括每次安装随机生成的
哈希密钥、净化的 X-Forwarded-For 处理(仅信任受信代理)、
会话吊销、涂黑时清除的 PDF 元数据,以及静态资源上的 no-cache 响应头。