二维码生成器在追踪你吗？30 秒验证方法

生成一张二维码看起来人畜无害：你填一个表单，得到一张图片。看不见的是：你输入的数据去哪了——它是留在浏览器里，还是被送到了服务商的服务器？

对于 WiFi、vCard、支付数据，这个差别至关重要。

快速解答

• 在线二维码生成器可能追踪两样东西：你输入的数据（密码、联系人、URL）以及之后扫描二维码的人。
• 对输入数据的追踪取决于生成过程是服务端（数据上传到服务器）还是客户端（一切都在你的浏览器里进行）。
• 对扫描者的追踪只在动态二维码中存在：二维码指向服务商链接，每一次访问都被记录。
• 在生成二维码时打开浏览器的开发者工具（Network 面板），30 秒就能验证。
• 如果输入的是敏感数据（WiFi、vCard、支付），请使用客户端生成器、无需注册，最好是开源的。根据中国《个人信息保护法》（PIPL）与欧盟 GDPR，你有权知道你的数据去了哪里。

二维码生成器中可能存在哪些追踪

三个层面：

1. 对你输入数据的追踪

你填表（SSID、密码、联系人、URL）时，这些信息可能：

• 留在你的浏览器里，永远不发送到任何地方（客户端生成）。
• 上传到服务商服务器以合成图片再返回（服务端生成）。之后可能保留在日志、分析或数据库中。

大多数在线生成器默认都是服务端，因为那是最省事的实现。这不代表服务商有恶意，但确实意味着你的数据经过了他们的基础设施。

2. 对生成者本人的追踪

像任何网站一样，生成器可能包含：

• 分析工具（Google Analytics、Plausible、Matomo 等）。
• 第三方 Cookie 与广告像素（Meta、抖音、Google Ads）。
• 浏览器指纹，无需 Cookie 即可识别你。
• 强制注册，把你生成的每一张二维码都与身份绑定。

这与二维码生成本身无关，但属于「套餐」的一部分。

3. 对扫描者的追踪

仅存在于动态二维码：码指向服务商的短链接（qr.xx/abc123），再跳转至真实目标。每次跳转都会记录：

• 扫描的准确时间。
• 用户 IP（从而得到大致位置）。
• 设备类型、操作系统、浏览器。
• 可能的 Referer。

在动态二维码中，扫描追踪并非意外——而是产品存在的理由。

如何发现生成器在追踪你（无需编程）

用任意现代浏览器花三分钟：

1. 打开你打算使用的生成器。
2. 按 F12（或右键 → 检查），切到 Network 面板。
3. 点击红色录制按钮 / 保持打开并清空列表（⌀ 按钮）。
4. 在二维码表单里填任意数据，点击「生成」。
5. 观察列表里出现的请求。

观察要点：

• 生成时未出现新请求：说明二维码 100% 在你的浏览器中构建。客户端。✅
• 点击生成时出现指向服务商的 POST 请求，载荷含你填的字段（SSID、密码等）：数据正在上传到服务器。服务端。❌ 不适合敏感数据
• 返回体是后端合成的二维码图片（PNG 或 SVG）：进一步确认是服务端生成。

同时注意页面是否加载 Google Analytics、Meta Pixel 或其他追踪脚本（你会看到对 google-analytics.com、googletagmanager.com、connect.facebook.net 等域名的请求）。

明显的危险信号

不开 DevTools 也能快速判断：

• 强制注册或创建账号才能生成基础二维码。
• 存在「PRO」付费计划，卖点是详细的扫描追踪：若商业模式如此，追踪写在产品基因里。
• 下载的二维码里是他们的域名而非你的（qr.xx/abc123 而不是 yourdomain.com）：那是动态二维码，默认被追踪。
• 隐私政策提到与第三方共享数据、与营销伙伴合作或用于广告。
• 不公开源代码、工具免费却没有明显的盈利模式：有人在为此买单，通常是拿你的数据。

如何验证生成器是客户端

快速清单：

• 支持离线： 断开 WiFi，刷新页面，尝试生成。能用 = 客户端；加载不出或无法生成 = 依赖服务器。
• 生成时无网络请求（按上文 DevTools 方法验证）。
• 无需账号、无需邮箱。
• 源代码可审查（开源或未压缩的 JavaScript）。
• 二维码目标就是你输入的内容，不是服务商的短链接。

五项都符合，生成器就无法追踪你，也无法追踪任何扫描者。

为什么这对 WiFi、vCard 和支付尤其重要

对一个公开 URL（企业官网、公开 PDF）而言，生成器「看到」你的 URL 毫无风险：反正它本来就是公开的。

但有三类二维码，追踪就非常要命：

• WiFi： 你的网络密码。一旦上传到服务商服务器，就脱离了你的掌控。
• vCard： 个人手机、邮箱、地址。属于 PIPL/GDPR 规定的个人信息。
• 支付 / 加密货币： 钱包地址、银行账号。最高敏感等级。

这些场景下，使用客户端生成器不是多疑，而是基础卫生。

开源 vs 闭源

开源并不直接等于更隐私，但它允许你：

• 审查代码，确认没有隐藏追踪。
• 验证客户端逻辑，不必凭服务商一面之词。
• 如果你想彻底掌控，可以自托管。

闭源生成器也可能一样隐私友好，但你只能相信他们的说法。没有可审计的代码，就没法验证。

实际上：开源 + 无账号 + 生成时无网络请求 = 合理可及的最高隐私标准。

结论

几乎所有在线二维码生成器都在服务器端处理你的数据。对公开 URL 而言没问题，但对 WiFi、vCard 或支付而言有风险。30 秒验证：打开 DevTools，切到 Network，看看点击生成时浏览器是否发送任何请求。如果没有，那就是客户端，你的内容从未离开设备。

QRcito 完全在你的浏览器内生成每一张二维码，无需账号、生成时无网络请求、无第三方追踪器。你可以在点击生成之前打开 DevTools 自行验证。

常见问题

二维码生成器里的「客户端」是什么意思？ 指构建二维码图片的 JavaScript 在你的浏览器中运行。你输入的数据从不发送到任何服务器。生成过程本地、即时、可离线。

二维码生成器存储我的数据合法吗？ 只要它在隐私政策里声明且你接受，是合法的。问题是很多政策含糊或没有覆盖二维码的具体数据。拿不准就假设它保存了些什么，涉及敏感数据就换一款。

静态二维码能追踪扫描者吗？ 不能。静态二维码不经过任何服务器：信息从码直接到读码器。只有动态二维码（有中间跳转链接）能追踪扫描。

PIPL / GDPR 如何适用于二维码生成器？ 如果你把个人数据（vCard 里的姓名、邮箱、电话）输入到一个服务端工具里，且该工具服务于中国或欧洲用户，服务商就需要承担相应的处理责任。最简单的降风险办法就是使用客户端生成器。

为什么 QRcito 能免费提供所有功能且不追踪？ 因为生成二维码是一项轻量级流程，不需要昂贵的基础设施。客户端意味着没有每用户的服务器成本；没有追踪或账号，也就没有可卖的「产品」。站点运维成本极低，不必靠用户变现。