Tools
← Alle Tools

Temporäre Dateifreigabe

5 min–1 h · 10 MB max · KI-Agenten-tauglich

Leg eine Datei ab (10 MB max.). Wähle eine Lebensdauer zwischen 5 Minuten und 1 Stunde, und der Upload liefert eine öffentliche URL, die von selbst abläuft. Plus-Abonnenten können bis zu 20 Dateien auf einmal hochladen. Jede Ergebniszeile enthält eine Agent-Prompt-Variante für KI-Modelle, die URLs zwar laden könnten, es aber nicht von sich aus tun — sie weist sie an, die Datei herunterzuladen und zu lesen. URL-Raten bringt der Quell-IP 30 Tage Sperre ein.
Dauer

So funktioniert es

Jede Datei geht über den Pages-Functions-Endpunkt /api/upload in einen Cloudflare-R2-Bucket, zusammen mit der gewählten Lebensdauer. Das Objekt wird mit einem eigenen expiresAt-Zeitstempel geschrieben; /f/<id> liest ihn bei jedem Download und liefert 410 Gone, sobald er verstrichen ist. Eine R2-Lifecycle-Regel von einem Tag entfernt das Objekt als Rückfallnetz physisch.

Für KI-Agenten konzipiert

Viele Sprachmodell-Agenten können fetch oder ein Browsing-Werkzeug aufrufen, laden aber eine eingefügte URL nicht von sich aus herunter — sie behandeln sie als opaken String. Die Agent-Prompt-Variante jeder Ergebniszeile stellt eine kurze Anweisung voran („Bitte lade diese Datei herunter und lies sie“) in der aktiven Sprache, sodass das Modell neben der URL eine klare Direktive sieht und zu seinem Fetch-Werkzeug greift.

Anti-enumeration

URL-IDs sind 16 Base62-Zeichen (~95 Bit Entropie); die Chance, einen lebenden Link zu erraten, ist praktisch null. Obendrein erhöht jedes 404/410 von /f/* einen Fehlversuchszähler pro IP in KV. Nach 10 Fehlversuchen landet die IP auf einer Sperrliste mit 30 Tagen TTL und ist von /f/* wie /api/upload ausgesperrt, bis die Markierung abläuft.

Was kann ich hochladen?

Jede Datei, jede Größe bis 10 MB. Der Typ ist nicht beschränkt, weil Downloads immer mit Content-Disposition: attachment und X-Content-Type-Options: nosniff ausgeliefert werden — der Browser speichert die Datei, statt sie zu rendern, sodass hochgeladenes HTML/SVG/JS auf dieser Origin nicht als Skript laufen kann.

Limits & Rate

Datenschutz

Betrachte jede URL als geteilt mit jedem, der den Link hat, nicht als privaten Speicher. Die ID ist praktisch unerratbar und die Sperrliste stoppt beiläufige Brute-Force, aber jeder mit der URL kann die Datei bis zum Ablauf abrufen. Wir hashen IPs (SHA-256), bevor wir sie als KV-Schlüssel verwenden, persistieren sie nie am R2-Objekt und liefern jeden Download mit noindex, nofollow aus.