Timing-Allow-Origin:分析工具在 Resource Timing API 中能看到什么
Timing-Allow-Origin 请求头控制着页面能读取多少跨域计时细节。以下是它对隐私优先性能测量的意义。
阅读更多 →Speculation Rules 与预渲染:分析工具在预取页面上的常见误区
Chrome 的 Speculation Rules API 可以在用户点击之前就渲染页面。以下介绍它如何扭曲简单的分析数据——以及无 cookie、基于边缘的测量如何保持真实。
阅读更多 →你的分析脚本很可能正在禁用前进/后退缓存
前进/后退缓存让后退按钮的导航近乎瞬时,但只要一个 unload 监听器就能让整个页面失去这项能力。罪魁祸首通常是跟踪脚本——而 CrUX 现在能衡量它造成的损失。
阅读更多 →GDPR 数据跨境是你唯一能靠架构彻底消除的合规风险
欧盟-美国数据隐私框架熬过了第一次司法挑战,但如今正上诉至 CJEU。从不把欧盟数据传输到美国的分析方案,无论结果如何都无所损失。
阅读更多 →EDPB 2026 年的执法目标就是你的隐私声明
EDPB 2026 年的协同执法行动将依据 GDPR 第 12 至 14 条审查透明度。最短的过关路径,是收集的数据少到声明可以自己写出来。
阅读更多 →你的分析脚本,正是 Content-Security-Policy 上的那个漏洞
严格的 CSP 能堵住 XSS,但一个第三方分析标签又把它重新打开。本文解释为什么主机白名单和缺失的 SRI 会削弱你的策略,以及第一方追踪器如何修复它。
阅读更多 →HTTP 层的默认隐私:缩小追踪面的响应头
两个响应头——Permissions-Policy 和 Referrer-Policy——决定了你的页面会向广告技术和第三方泄露多少信息。设置一次,监控面便默认关闭。
阅读更多 →INP 惩罚沉重的分析脚本:为什么你的追踪器在主线程上
Interaction to Next Paint 是最多网站未能通过的 Core Web Vital,现场数据显示行为追踪脚本是主要原因之一。解决办法是减少发送到主线程的工作量。
阅读更多 →Digital Omnibus 拟豁免第一方分析的同意要求
欧盟 2025 年 11 月的 Digital Omnibus 提议豁免第一方、仅内部使用的受众测量的同意要求。它描述的正是无 cookie 分析早已运行的模型。
阅读更多 →