做开发或者设计的，谁电脑里没存几个在线工具书签：JSON 格式化、Base64 编解码、正则测试、JWT 解析、时间戳转换……顺手、不用装软件。但有个问题很多人没认真想过：你粘进这些网站的数据，到底去哪了？

这篇跟大家就聊一个实用问题——在线工具的数据安全，以及怎么自己判断一个工具到底安不安全。

一个容易被忽略的风险

在线工具大致分两种实现方式：

• 服务端处理：你把数据贴进输入框，点"格式化 / 解析 / 转换"，浏览器把数据发到它的服务器，处理完再把结果传回来。
• 浏览器本地处理：所有计算都在你当前这个浏览器页面里用 JavaScript 完成，数据不离开你的电脑，不向任何服务器发送。

平时用着没区别，但只要你贴进去的是敏感数据，差别就很大了。比如：

• 把生产环境接口返回的 JSON 贴进去格式化，里面带着用户手机号、身份证、订单信息；
• 把一段带 Authorization 的请求贴进去解析；
• 把一个 JWT、一段密钥、一份内部日志贴进去处理。

如果用的是服务端处理的工具，这些内容就被发到了一个你完全不了解的第三方服务器上。它存不存、怎么用，你无从得知。对很多公司来说，这已经踩到数据合规的红线了。

怎么自己判断一个在线工具是不是本地运行

不用猜，浏览器自带的工具就能验证，三步：

1. 打开工具页面，按 F12 打开开发者工具，切到 Network（网络） 面板。
2. 点一下"清空"，让请求列表归零。
3. 在工具里粘贴数据、点击"格式化 / 转换 / 解析"。

关键就看这一下操作有没有产生新的网络请求。

• 如果 Network 里没有新的请求（尤其没有把你输入内容作为 body 的 POST 请求），说明处理是纯前端完成的，数据没有外传；
• 如果出现了一个携带你输入数据的请求，那它就是发到服务端处理的，敏感数据慎用。

更狠一点的验证：把网络直接断掉（DevTools 里勾 Offline，或拔网线）。纯本地的工具断网照样能用，因为它根本不需要联网；服务端处理的工具断网就废了。

为什么大部分常用工具其实都能本地做

现代浏览器的 JavaScript 能力，足以在前端完成绝大多数开发工具的工作，根本不需要后端：

• JSON / XML / SQL 格式化、压缩、校验 —— 纯字符串处理；
• Base64、URL、Hex、Unicode 编解码 —— 浏览器原生 API 就支持；
• MD5 / SHA 哈希、HMAC —— Web Crypto API 直接算；
• 正则测试、文本对比、命名转换、进制转换、单位换算 —— 全是本地计算；
• 时间戳转换、Cron 解析 —— 不涉及任何外部数据。

也就是说，这些功能本就应该在本地完成，一个工具如果把它们放到服务端处理，要么是实现偷懒，要么就值得你多留个心眼。

实践建议

1. 处理敏感数据（接口返回、token、密钥、日志）时，优先选**明确声明"本地运行 / 数据不上传"**的工具，或者用上面的 Network 方法自己验一遍。
2. 把验证过的本地工具固定下来，别每次随手搜一个来路不明的。
3. 普通的、不含敏感信息的文本，用服务端工具问题不大，按需就好。

我自己是把常用的这些换成了一套纯浏览器本地运行的工具集（在用 nav.jiamingai.cn 上那套，JSON / Base64 / JWT / 正则 / 时间戳这些都齐，断网可用），省得每个功能去验一遍。你也可以用任何习惯的工具，重点是养成"贴敏感数据前先确认它本地运行"这个习惯。

—

数据安全这事，平时看不出来，出问题就是大事。一个 F12 看 Network 的小习惯，能帮你躲掉不少坑。

你平时验证过自己常用的在线工具是本地还是服务端处理吗？评论区聊聊。