Excalidraw Cookie使用说明与用户同意管理

Excalidraw 中的 Cookie 使用与用户同意管理实践

在现代企业协作环境中，可视化工具已成为技术团队表达架构设计、梳理业务流程和推进产品迭代的核心载体。随着远程办公常态化，对轻量级、高隐私性的白板工具需求激增。Excalidraw 凭借其手绘风格界面、零依赖部署能力和端到端加密特性，在开发者社区中迅速走红——但它真的“完全无痕”吗？当我们将它嵌入企业门户、集成AI功能或连接分析系统时，那些看似无关紧要的Cookie和追踪脚本，可能正悄然挑战着GDPR、CCPA等合规底线。

这不仅是技术选型问题，更是数据治理的关键一环。我们不能因为一个工具标榜“开源”“本地存储”，就默认它天然合规。真正的安全始于对每一个HTTP请求、每一段第三方脚本的审慎评估。本文将从实际工程视角出发，拆解 Excalidraw 在真实部署场景下的数据流动路径，揭示潜在风险点，并给出可落地的用户同意管理方案。

浏览器中的状态管理远比表面看起来复杂。虽然 Excalidraw 官方强调“无需登录、不传服务器”，但它的核心机制其实依赖于localStorage而非 Cookie。每次你在画布上拖动一个矩形，变更都会立即序列化为 JSON 并写入本地存储：

localStorage.setItem('excalidraw', JSON.stringify({ elements: [...], // 图形元素数组 appState: { zoom: 1.2, offset: { x: 100, y: 50 } }, version: 2 }));

这种设计绕开了服务端会话管理，避免了 Set-Cookie 响应头的出现，确实大幅降低了隐私负担。刷新页面后，应用直接从 localStorage 恢复状态，整个过程完全在客户端完成。也正因如此，许多团队误以为“既然没用 Cookie，就不需要弹出 consent banner”。然而，现实往往更复杂。

当你把 Excalidraw 嵌入到企业知识库时，情况就变了。主站可能已接入 Google Analytics 或内部埋点 SDK，这些脚本会在 iframe 内运行并尝试设置 Cookie。即便 Excalidraw 自身不设 Cookie，第三方服务仍可能通过 API 调用间接注入追踪标识。例如，启用 AI 图表生成功能时，前端会向外部 LLM 网关发起请求：

fetch('https://ai-api.example.com/generate', { method: 'POST', body: JSON.stringify({ prompt: "draw a microservice architecture" }), credentials: 'omit' // 关键！阻止自动携带凭证 });

这里credentials: 'omit'是关键防线。若省略此配置，默认行为是same-origin，即同域请求会自动附带 Cookie；而跨域调用若未明确禁止，某些浏览器策略下也可能泄露信息。更危险的是，一些第三方 AI 服务商为了统计用量或防滥用，在响应中设置了持久化 Cookie：

Set-Cookie: tracking_id=abc123; Path=/; Domain=.ai-service.com; SameSite=Lax

即使用户从未主动访问该域名，只要 API 被调用，这个 Cookie 就会被写入浏览器，形成隐蔽的用户画像锚点。这类“间接追踪”正是合规审计中最容易被忽视的风险源。

那么如何应对？答案不是简单地禁用所有外部服务，而是建立一套动态可控的执行机制——也就是用户同意管理系统（CMP）。它不应只是一个形式化的弹窗，而应成为整个前端生态的权限中枢。

一个有效的 CMP 实现应当具备三个层次的能力：检测、拦截与调度。首先，系统启动时扫描所有待加载脚本，按用途分类：

• 必要功能：维持基本交互的脚本（如 Excalidraw 核心包）
• 性能优化：CDN 加速、缓存预取等
• 分析追踪：用户行为记录、热力图采集
• 个性化服务：AI 推荐、智能补全

然后，根据用户的授权状态决定是否执行非必要脚本。比如以下结构：

<div id="consent-banner" style="display:none;"> <p>我们使用以下技术改善体验，请选择允许项：</p> <label><input type="checkbox" disabled checked> 核心功能（必须启用）</label> <br> <label><input type="checkbox" id="enable-ai-tracking"> 允许AI功能使用分析数据</label> <button onclick="saveConsent()">保存选择</button> </div> <script> function saveConsent() { const analyticsAllowed = document.getElementById('enable-ai-tracking').checked; const consent = { analytics: analyticsAllowed, timestamp: Date.now() }; localStorage.setItem('user_consent', JSON.stringify(consent)); document.getElementById('consent-banner').style.display = 'none'; if (analyticsAllowed) { loadScript('https://tracker.ai-service.com/sdk.js'); } } </script>

注意，CMP 自身也不能成为新的追踪源。因此：
- 存储方式优先使用 localStorage 而非 Cookie，避免额外网络传输；
- 不收集精确 IP 地址，仅保留哈希后的匿名标识用于审计；
- 提供全局修改入口，让用户随时调整偏好。

在系统架构层面，建议采用分层隔离设计：

[用户浏览器] │ ├── 主应用框架 │ ├── CMP 控制器（权限仲裁者） │ └── 动态脚本加载器 │ └── Excalidraw 模块（iframe 或微前端） ├── 本地状态管理（localStorage） ├── 条件性外部调用 │ ├── AI API（仅当同意后启用） │ └── 同步服务（可选，支持E2EE） └── 分析上报（受CMP策略约束）

这种架构确保了即使某个模块存在隐私缺陷，也能通过外围策略进行遏制。例如，AI 服务本身无法自主决定是否发送数据，必须由主应用根据 consent 状态显式触发。

当然，任何方案都有边界。我们需要清醒认识到几个现实限制：

1. 移动端隐私模式限制：iOS Safari 和部分安卓浏览器在无痕模式下禁用 localStorage，可能导致内容丢失。此时应降级为内存缓存 + 显式导出提醒。
2. 跨域 iframe 存储隔离：若 Excalidraw 部署在独立子域，其 localStorage 与其他模块不共享，需借助 postMessage 协议协调状态。
3. 同步服务的信任模型：若使用自建 sync server，虽可控制数据流向，但仍需防范日志记录中的元数据泄露（如请求频率、设备指纹）。

最后回到根本原则：最小权限与透明可控。不要假设用户“愿意被追踪”，而要让每一次数据采集都建立在知情同意的基础上。哪怕只是一个小小的分析脚本，也应该给予关闭选项。这不是增加负担，而是构建信任的基石。

Excalidraw 的真正价值，不仅在于它能让一张架构图画得更有“人味儿”，更在于它推动我们重新思考 Web 应用的责任边界。在一个越来越警惕数据滥用的时代，最好的用户体验，恰恰是让人感觉不到被监控的存在。