Octuo Cookie 政策
Octuo 使用一组少量的 cookie 与浏览器存储项。本文逐一列出。我们没有 cookie 同意横幅,原因是我们不使用任何追踪、广告或分析 cookie;只使用运行本服务所必需的基础 cookie。欧盟用户:这属于 ePrivacy 指令中"严格必要的"豁免范围。
本政策是隐私政策的一部分。
1. Cookie(octuo.tutuo.ai)
| 名称 | 用途 | 类型 | 有效期 | 设置方 |
|---|---|---|---|---|
__Host-octuo_jwt |
会话身份验证(在 HttpOnly cookie 中存放 JWT) | 严格必要的 | 1 小时(access);7 天(refresh) | Octuo 后端 |
说明:
__Host-前缀强制 Secure + Path=/ 并禁止设置 Domain 属性,意味着该 cookie 无法被设置到子域名上,也不会泄漏到非 HTTPS 页面。- 该 cookie 为
HttpOnly,因此 JavaScript 无法读取(防止基于 XSS 的会话劫持)。 - 该 cookie 为
SameSite=Lax,因此不会在跨站点 POST 请求中被发送(防止针对状态变更接口的 CSRF)。
2. 浏览器 localStorage / sessionStorage
| 键 | 用途 | 有效期 |
|---|---|---|
octuo.ui.locale |
您的语言偏好(en-US、zh-CN 等) | 直到您清除浏览器存储为止 |
octuo.ui.theme |
浅色/深色主题偏好(在选择器上线后) | 直到您清除浏览器存储为止 |
这些键由 Web 客户端在本地写入;它们从不会被发送到我们的服务器。清除后,您的偏好将重置为默认值。
3. 第三方 cookie
我们不加载:
- Google Analytics、Plausible 或任何其他网页分析提供方。
- Facebook Pixel、Twitter Pixel、LinkedIn Insight Tag 或任何其他广告网络追踪器。
- Intercom、Drift 或其他即时聊天小部件。
- Hotjar、FullStory 或其他会话回放工具。
我们加载的唯一第三方 JavaScript 来自 Stripe(Stripe.js),且仅在需要的计费界面上加载(Customer Portal 启动、Checkout 跳转)。Stripe 在 stripe.com 与 js.stripe.com 上设置自己的 cookie 以防范支付欺诈;这些 cookie 受 Stripe 隐私政策管辖。在您未主动使用计费功能的页面上,我们不加载 Stripe.js。
4. Apple 与 macOS 客户端
Octuo macOS 应用使用系统 Keychain 来存储身份验证令牌(不使用 cookie)。iOS 应用同样使用 iOS Keychain。它们不是浏览器 cookie,但承担同样的会话用途。
5. Do Not Track
由于 Octuo 不会出于广告或分析目的对您进行追踪,因此并不存在可被"Do Not Track"禁用的内容。我们以"从一开始就不进行追踪"的方式,从精神上尊重您的 DNT 信号。
6. 变更
如果未来某项功能需要 cookie,我们可能会新增。每次新增都会在下一次版本号更新中体现在本文中。我们承诺绝不在未提供同意横幅的情况下添加追踪、广告或第三方分析 cookie。如果届时新增,本政策将在此明确列出。
7. 联系
Cookie 相关问题:privacy@tutuo.ai。