HTML5不提供直接加密功能,需开发者在采集、传输、存储环节主动实现;应通过Performance API、Intersection Observer等获取行为数据,前端用Web Crypto API加密、哈希脱敏,HTTPS传输并服务端校验,且须获用户授权、遵循最小化原则。
HTML5 本身不提供直接加密用户行为轨迹数据的功能,加密需在采集、传输或存储环节由开发者主动实现,核心在于“先安全采集,再合规加密,后可靠传输”。
行为轨迹数据的常见类型与采集方式
用户行为轨迹通常包括页面停留时长、点击位置(x/y坐标)、滚动深度、按钮点击、表单输入(需脱敏)、跳转路径等。HTML5 可通过以下原生能力获取:
-
Performance API:获取页面加载、渲染、交互时间点(如
navigationStart、domInteractive) - Intersection Observer:监听元素是否进入视口,用于记录曝光行为
-
addEventListener:捕获
click、scroll、input、visibilitychange等事件 -
History API:监听
pushState、replaceState实现 SPA 路由追踪
前端本地加密的关键实践
敏感行为数据(如输入内容、精确坐标、设备标识)不宜明文暂存。推荐在浏览器端完成轻量加密后再上传:
- 使用 Web Crypto API(如
SubtleCrypto.encrypt())进行 AES-GCM 加密,密钥可派生自用户会话或服务端动态下发(避免硬编码) - 对 URL、userAgent、IP(若已获取)等字段做哈希脱敏(如 SHA-256 + salt),不可逆且防碰撞
- 避免在
localStorage或IndexedDB中明文保存原始轨迹;如需缓存,先加密再存储 - 输入类事件(如
input)建议节流 + 截断 + 哈希化,不记录完整文本
传输与后端协同的安全要点
前端加密只是第一道防线,必须配合安全传输与服务端校验:
立即学习“前端免费学习笔记(深入)”;
- 所有轨迹数据必须通过 HTTPS 提交,禁用 HTTP 接口
- 采用 POST + JSON 方式上传加密载荷,避免 GET 请求泄露于日志或代理中
- 服务端需验证加密签名(如 JWT 或 HMAC-SHA256),防止伪造上报
- 后端收到后应立即解密、清洗、去重,并按 GDPR/《个人信息保护法》要求设定数据保留周期
合规与最小化原则不可绕过
技术可行不等于合法可用。加密不能替代合规设计:
- 必须在采集前获得用户明确授权(如弹窗+勾选),说明数据用途、加密方式、留存期限
- 默认关闭高敏感行为采集(如键盘记录、截图、录屏),除非业务强依赖且单独授权
- 提供便捷的数据查询与删除入口,支持用户行使“被遗忘权”
- 定期审计采集字段,剔除非必要项(例如:无需精确经纬度时,仅记录城市级地理围栏)
不复杂但容易忽略:加密不是加一道锁,而是把锁装在对的位置——从采集源头控制数据形态,比事后补救更有效。
