返回博客

Izac Cavalheiro

Founder

Founder of Monoid. Writes about privacy-first analytics, web performance, and the regulation shaping how the web measures itself.

Posts by Izac Cavalheiro

5 分钟阅读

EDPB 2026 年的执法目标就是你的隐私声明

EDPB 2026 年的协同执法行动将依据 GDPR 第 12 至 14 条审查透明度。最短的过关路径,是收集的数据少到声明可以自己写出来。

阅读更多
5 分钟阅读

你的分析脚本,正是 Content-Security-Policy 上的那个漏洞

严格的 CSP 能堵住 XSS,但一个第三方分析标签又把它重新打开。本文解释为什么主机白名单和缺失的 SRI 会削弱你的策略,以及第一方追踪器如何修复它。

阅读更多
5 分钟阅读Engineering & Performance

HTTP 层的默认隐私:缩小追踪面的响应头

两个响应头——Permissions-Policy 和 Referrer-Policy——决定了你的页面会向广告技术和第三方泄露多少信息。设置一次,监控面便默认关闭。

阅读更多
4 分钟阅读Engineering & Performance

INP 惩罚沉重的分析脚本:为什么你的追踪器在主线程上

Interaction to Next Paint 是最多网站未能通过的 Core Web Vital,现场数据显示行为追踪脚本是主要原因之一。解决办法是减少发送到主线程的工作量。

阅读更多
4 分钟阅读Law & Regulation

Digital Omnibus 拟豁免第一方分析的同意要求

欧盟 2025 年 11 月的 Digital Omnibus 提议豁免第一方、仅内部使用的受众测量的同意要求。它描述的正是无 cookie 分析早已运行的模型。

阅读更多
5 分钟阅读Law & Regulation

哈希何时算个人数据?欧盟法院 SRB 判决与分析中的身份标识

欧盟法院在 EDPS 诉 SRB 案中将可识别性确立为相对的、依情境而定的判断标准。本文说明这对基于哈希的分析意味着什么,以及为什么每日轮换的加盐哈希既能通过法院的解读,也能通过 EDPB 更严格的解读。

阅读更多
5 分钟阅读Law & Regulation

Consent Mode v2 与 2026 年 6 月 Google Signals 的终结

2026 年 6 月 15 日起,ad_storage 成为 Google 体系中对广告数据的唯一控制。本文讲解 Google Signals 终结对开发者意味着什么——以及为什么这整套机制是无 cookie 分析从来不必构建的。

阅读更多
5 分钟阅读Law & Regulation

存储期限限制是 2026 年分析领域的执法前线

监管机构不再追问你是否合法收集了数据,而是追问你何时删除了它。在 CNIL 对 Free 开出 4200 万欧元罚单、EDPB 开展删除合规专项检查之后,分析数据的留存成了审计目标。

阅读更多
3 分钟阅读Engineering & Performance

Soft Navigations:用浏览器的方式衡量 SPA 性能

Chrome 的软导航启发式终于让 Core Web Vitals 能够附着到客户端路由切换上。本文讲清这套 API 如何工作,以及如何在不进行监控的前提下衡量它。

阅读更多
5 分钟阅读Law & Regulation

Global Privacy Control 现已成为十个州具有约束力的选择退出信号

GPC 不再只是建议。在 Disney 和解案与三州联合执法行动之后,Sec-GPC 标头在美国十个州具有法律约束力——而无 cookie 分析没有任何需要遵守的内容。

阅读更多
5 分钟阅读Law & Regulation

Cookie 法不再只关乎 Cookie:第 5(3) 条现在涵盖什么

EDPB 指南 2/2023 将 ePrivacy 同意规则扩展至像素、URL 追踪和仅 IP 识别。最近的 CNIL 和 Garante 裁决证实了技术中立的解读。这里是对开发者的影响。

阅读更多
4 分钟阅读Engineering & Performance

为 Astro 站点添加隐私优先分析

Astro 的 View Transitions 会悄无声息地破坏标准分析脚本。这里是无需 cookie 或同意横幅即可追踪每次路由变化的正确方式。

阅读更多
4 分钟阅读Engineering & Performance

为 SvelteKit 应用添加隐私优先分析

SvelteKit 2 与其他框架的客户端导航拦截方式不同。这里是无需 cookie 或同意横幅即可追踪路由变化的正确方式。

阅读更多
5 分钟阅读Privacy & Compliance

Privacy Sandbox 已死:这对你的分析栈意味着什么

Google 于 2025 年 10 月退役了 Topics、Attribution Reporting 和 Protected Audience。这里讲述这次关停的技术含义,以及为什么第一方分析一直是正确的选择。

阅读更多
5 分钟阅读Law & Regulation

无障碍缺失的同意横幅如今会带来两种法律责任,而非一种

欧洲无障碍法案于 2025 年 6 月使 WCAG 2.2 具有可执行力。屏幕阅读器无法导航的横幅会使 GDPR 同意失效。无 cookie 分析可同时绕过这两个问题。

阅读更多
5 分钟阅读Privacy & Compliance

Google 撤销了对设备指纹的禁令:开发者需要知道什么

2025 年 2 月,Google 取消了自己对设备指纹的禁令。这里讲述变化是什么、为什么监管者感到震惊,以及这对你的分析栈意味着什么。

阅读更多
6 分钟阅读Privacy & Compliance

为什么追踪繁重的服务让你付出的代价超出你的想象

大多数应用收集的远超功能所需。这里讲述这些数据实际做了什么、谁从中获利,以及为什么风险不会停留在收集它的公司身上。

阅读更多
6 分钟阅读Privacy & Compliance

在你的分析栈中,'隐私优先'实际意味着什么

这个短语随处可见,但大多数使用它的工具仍存储标识符、指纹或哈希后的邮箱。这里讲述技术上可靠的隐私优先数据模型应该是什么样子。

阅读更多
5 分钟阅读Engineering & Performance

2 KB 分析追踪器如何让你的 Core Web Vitals 保持绿色

传统分析脚本足够沉重,会影响你的 Lighthouse 分数。这里讲述轻量级追踪器有何不同——以及为何这对真实用户很重要。

阅读更多
6 分钟阅读Web Analytics

Google Analytics 对大多数站点而言过于臃肿:开发者视角

Google Analytics 收集的远超大多数站点所需。这里讲述为什么轻量级、隐私优先的替代方案改变了开发者体验——以及访客体验。

阅读更多
4 分钟阅读Engineering & Performance

为 Next.js 应用添加隐私优先分析

一步步指导你将 Monoid 集成到 Next.js 中,无需 cookie、同意横幅或合规烦恼。

阅读更多
5 分钟阅读Privacy & Compliance

为什么无 cookie 分析不需要同意横幅

大多数分析工具需要 cookie 同意弹窗,因为它们存储个人数据。这里讲述隐私优先分析完全跳过它的技术原因。

阅读更多