法律
Cookie 政策
三个 Cookie。全部为严格必要。无追踪、无分析、无第三方——永远如此。
最后更新日期:2026年5月25日
欧盟法律(《隐私与电子通信指令》第 5(3) 条及 GDPR)规定,在用户设备上存储或访问信息前必须获得同意,除非该信息“为提供用户明确请求的服务所严格必要”。会话 Cookie、身份验证 Cookie 和 CSRF 安全 Cookie 明确属于豁免范围。
Clavitor 仅使用三个 Cookie。全部为严格必要,均豁免同意要求。既然无需同意,我们便不会显示征求同意的横幅——那会产生误导。
| 名称 | 有效期 | 用途 | 属性 |
|---|---|---|---|
clv_onb | 8 小时 | 承载您的会话——涵盖注册期间(跨多步结账流程)以及您登录 /account 管理订阅之后。采用 HMAC 签名;无法伪造或篡改。关闭浏览器即终止会话。 | HttpOnly, Secure, SameSite=Lax |
clv_oauth_state_* | 10 分钟 | 在您点击 Google 登录时设置。包含一个随机的 CSRF nonce 供 OAuth 回调验证——这是防范 OAuth 流程遭受 CSRF 攻击的标准防御措施。回调完成后即删除。 | HttpOnly, Secure, SameSite=Lax |
clv_prefs | 1 年 | 记住您从导航或定价页面选择的语言和国家/地区偏好。 | HttpOnly, Secure, SameSite=Lax |
clv_onb 是提供您明确请求的注册和账户管理功能所必需的。若无此 Cookie,多步注册流程将无法记住您正在创建的账户,/account 也无法识别您刚刚验证了邮箱。该 Cookie 仅包含维持会话所需的信息——无追踪标识符,无行为数据。没有功能替代方案。
clv_oauth_state_* 是安全完成社交登录所必需的安全 Cookie。若无此 Cookie,您的 OAuth 回调可能会遭到 CSRF 攻击劫持。豁免范围明确涵盖此类“用户输入 Cookie”和安全 Cookie(参见 WP29 第 04/2012 号意见、EDPB 第 03/2022 号指南)。
clv_prefs 会记住您选择的语言和国家/地区。若无此 Cookie,每次加载页面时,语言将回退至浏览器的 Accept-Language 标头,定价货币将回退至 IP 地理位置,从而忽略您的明确选择。这是一个“用户输入 Cookie”——它存储您明确设置的偏好。
- 分析: 未使用 Google Analytics、Plausible、Fathom 或其他任何分析工具。零。
- 营销像素: 未使用 Meta Pixel、LinkedIn Insight,无再营销。
- 第三方脚本: 无 CDN 托管的库。无 Google Fonts(我们自行托管 woff2 文件)。
- 本地存储 / IndexedDB / sessionStorage: 无。欧盟法律将这些与 Cookie 同等对待,我们未使用其中任何一种。
- 设备指纹: 无。
- “记住我”Cookie: 无。未来的身份验证将使用您的指纹、面容或安全密钥,这些由您的浏览器独立于 Cookie 进行存储。
所有 Cookie 均会自动删除——clv_oauth_state_* 在 OAuth 回调后删除,clv_onb 在 8 小时后或您在 /account 登出时删除。您可以随时通过浏览器的 Cookie 设置手动删除它们:
- Chrome / Edge / Brave: 设置、隐私和安全、Cookie 及其他网站数据
- Firefox: 设置、隐私与安全、Cookie 和网站数据
- Safari: 偏好设置、隐私、Cookie 和网站数据
注意: 在注册过程中阻止 clv_onb 会将您重置为第 1 步,并导致 /account 无法保持登录状态。阻止 clv_oauth_state_* 将导致社交登录无法完成。
如果我们未来添加任何其他 Cookie,我们将更新此页面和隐私政策。我们永远不会添加追踪或分析 Cookie——这是品牌承诺,而不仅仅是法律要求。