Excalidraw数据存储位置声明：是否出境？

Excalidraw数据存储位置声明：是否出境？

在当今远程协作日益频繁的背景下，技术团队对可视化工具的需求早已超越“能画图”的基本功能。从系统架构设计到产品原型讨论，一张随手可得的白板往往成为决策的关键载体。Excalidraw 正是在这样的场景中脱颖而出——它那看似随意的手绘风格，实则暗含深意：降低表达门槛、消除设计压迫感，并以极简交互实现高效协作。

但当我们在会议室里愉快地拖动矩形框时，很少有人会停下来问一句：我画的这张图，数据去了哪里？尤其是在中国，随着《数据安全法》《个人信息保护法》等法规落地，数据是否出境已不再是技术细枝末节，而是关乎合规红线的核心问题。

这个问题的答案并不简单。Excalidraw 并非传统意义上的 SaaS 服务，它的行为高度依赖使用方式。你可以把它当作一个临时共享的在线白板，也可以将它完整部署在企业内网，变成专属的知识协作平台。正是这种灵活性，使得“数据是否出境”不能一概而论，而必须深入其运行机制才能看清真相。

我们先来看最常见的情况：直接访问excalidraw.com。这个域名看起来无害，加载也很快，用户打开浏览器就能开始创作。但实际上，每一次点击、每一笔绘制，都会触发一系列后台动作。

所有绘图内容在前端以 JSON 结构实时维护，当你点击“保存并分享”，系统会生成一个包含加密数据片段的 URL。例如：

https://excalidraw.com/?id=abc123&room=xyz789

这个链接中的id和room参数指向的是后端的一个临时存储节点。官方文档明确指出，这些数据默认存储在 Google Cloud 的 Firebase 实例中，区域为us-central1——即美国中部数据中心。这意味着，哪怕你在中国境内操作，只要使用的是官方在线版，你的图表数据就会通过网络传输至境外服务器进行暂存。

更关键的是，默认情况下，这些数据是明文上传的。虽然 URL 中的数据经过压缩和 Base64 编码，但这只是为了减少长度，并不具备真正的加密保护。只有当你主动启用“密码保护”功能时，客户端才会在本地使用 AES-GCM 算法对数据进行加密，然后再发送到服务器。此时，即使数据途经美国节点，服务端也无法解密内容。

下面这段来自官方仓库的代码清晰揭示了这一逻辑：

// packages/excalidraw-app/src/data/firebase.ts async function saveToFirebase(scene: ExcalidrawScene) { const ref = database.ref("scenes"); const key = generateSceneId(); const data = compressData(JSON.stringify(scene)); if (password) { const encrypted = await encryptData(data, password); await ref.child(key).set({ compressed: true, encrypted }); } else { await ref.child(key).set({ compressed: true, data }); } return `${window.location.origin}/?id=${key}&room=${key}`; }

可以看到，是否加密完全取决于password是否存在。没有密码，就是裸奔；有密码，才真正实现了端到端加密（E2EE）。这也提醒我们：安全不是默认项，而是需要主动选择的责任。

而且，即便是启用了 E2EE，数据流依然要经过境外中转。虽然内容不可读，但从网络路径上看，仍然构成了跨境传输的事实。对于某些行业（如金融、政务），哪怕只是“流量过境”，也可能触碰监管敏感区。

那么，有没有办法彻底避免数据出境？答案是肯定的——自托管（Self-hosting）。

作为开源项目，Excalidraw 提供了完整的部署能力。你可以将其拉取到本地环境，用一行命令启动：

git clone https://github.com/excalidraw/excalidraw.git cd excalidraw npm install npm run build npm run start:app

一旦部署成功，整个系统的控制权就回到了你自己手中。你可以把服务架设在阿里云华东1区、腾讯云北京机房，甚至是公司内部的私有机房。所有数据请求都局限在内网或国内公有云之间，物理上杜绝了出境可能。

不仅如此，你还拥有对存储策略、保留周期、访问权限的完全掌控。比如，默认的 7 天自动清理可以改为 90 天归档，数据库可以从 Firebase 替换为 MySQL 或 MinIO，甚至可以直接写入本地文件系统。

以下是一个典型的 Nginx 反向代理配置，用于将自建实例暴露为安全的 HTTPS 服务：

server { listen 443 ssl; server_name whiteboard.company.local; ssl_certificate /etc/nginx/certs/tls.crt; ssl_certificate_key /etc/nginx/certs/tls.key; location / { proxy_pass http://localhost:3000; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } location /socket.io/ { proxy_pass http://localhost:3000; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } }

这个配置不仅实现了 TLS 加密通信，还正确转发了 WebSocket 请求，保障了实时协作功能的正常运行。更重要的是，整个系统运行于企业可控的网络边界之内，外部无法直接访问，极大降低了数据泄露风险。

在一个典型的私有化部署架构中，整体链路如下：

+------------------+ +----------------------------+ | 用户浏览器 | <---> | Nginx (HTTPS 入口) | +------------------+ +----------------------------+ | v +--------------------------+ | Excalidraw App (Node.js) | +--------------------------+ | v +-------------------------+ | 内部数据库或文件存储 | | （MySQL / MinIO / LocalFS）| +-------------------------+

所有组件均位于中国境内 IDC 或云平台，DNS 解析指向内网 IP 或私有域名，访问需通过身份认证网关（如 OAuth2.0、LDAP）。日志系统记录每一次房间创建、成员加入与内容修改，满足审计追溯要求。

在这种模式下，Excalidraw 不再只是一个绘图工具，而是演变为组织内部的知识协作基础设施。它解决了多个现实痛点：

• 异地协作效率低？实时同步机制确保多人编辑零延迟。
• 担心第三方工具泄密？数据全程不出内网，从根本上规避风险。
• 图表太机械缺乏表现力？手绘风格让沟通更轻松自然。
• 难以追踪变更历史？每次修改均可记录，支持版本回溯。

当然，自托管也带来一定的管理成本。你需要考虑服务器运维、备份策略、安全补丁更新等问题。但对于重视数据主权的企业而言，这份投入是值得的。尤其是那些处于金融、医疗、政府等强监管行业的组织，私有化部署几乎是唯一可行的选择。

值得一提的是，Excalidraw 的轻量化设计大大降低了部署门槛。单台 4 核 8G 的虚拟机即可支撑百人级团队日常使用，资源消耗远低于主流协作平台。结合 Docker 和 GitOps 流程，还能轻松纳入现有的 DevOps 体系，实现自动化发布与监控。

回到最初的问题：Excalidraw 的数据是否出境？

答案很明确：

• 如果你使用excalidraw.com官方站点，且未设置密码 →数据出境且明文暴露
• 使用官方站点但启用了密码保护 →数据路径出境，但内容受加密保护
• 自托管部署在国内环境 →数据不出境，完全可控

因此，判断风险不能只看工具本身，更要审视使用方式。很多团队误以为“用了国外的服务”等于“一定违规”，其实不然——端到端加密可以在一定程度上缓解合规压力；反之，有些人以为“开了个链接分享”无关紧要，殊不知一张系统架构图可能已经包含了敏感接口信息。

最终，我们需要建立一种新的认知：工具的安全性，是由使用方式决定的，而不是由代码来源定义的。

Excalidraw 的价值，正在于它提供了一个平衡点——既保持极致的用户体验，又不牺牲对数据的控制权。它的开源本质，让它既能作为公共协作空间存在，也能化身为企业内部的私密白板。这种双重属性，恰恰反映了现代数字协作的本质矛盾：如何在开放与封闭、便捷与安全之间找到最优解。

而对于中国的组织来说，这条路已经越来越清晰：优先采用可本地化部署的开源工具，结合严格的访问控制与员工培训，才能真正实现“自由创作”与“安全合规”的统一。

未来，或许我们会看到更多类似 Excalidraw 的工具走向模块化、可插拔的设计方向——核心功能通用，数据路径可定制。而这，才是下一代协作软件应有的模样。