1 设计工具可访问性:不是「一个域名、一条全局」
与「只读一个 H5 页面」的产品不同,Figma 系产品在同一会话里要同时拉取画板数据、拉取 CDN 上的位图与矢量切片、在侧边栏里请求插件市场元数据,并维持多光标协作的实时通道。公司网络里若还存在企业 SSO,浏览器会再跳往身份提供商的域名。把这些全部押在「我对 figma.com 开代理」上,往往会在子域、静态资源主机名、字体外链与 OAuth 回跳上漏人漏包:界面一部分正常、一部分永远加载中。把「可访问」拆成可枚举的几类 HTTPS 目标,是后续写 Clash 分流的前提。
若你尚未在图形客户端里配好 TUN 与 DNS 基础,可先读《Clash Verge Rev TUN 模式完全指南》与《彻底防止 DNS 泄漏:Meta 内核 DoH + FakeIP 最佳实践配置》,再回来对照本文的域名表;网络语义一致后,Rule Provider 的增量维护成本会低很多。客户端安装可优先从本站下载页获取,避免在分发链路上分散注意力。
2 五类业务流量:账户、画板、字体、插件与实时协作
第一类是账户、登录与 OAuth 回调:在浏览器中打开团队邀请、在桌面应用里完成一次登录、或使用 Google 等联合登录时,会涉及 figma.com 上的认证端点,以及 accounts.google.com 等 IdP 主机名。若规则只代理 figma.com 而漏掉 IdP,你会看到登录页能打开、点授权却无响应或重定向死循环。
第二类是画板、文件树与产品 API 的 JSON/HTTPS:以 www.figma.com 或应用内子域为入口的 REST/GraphQL 风格请求。第三类是Web 字体与 CSS 外链:文件里若引用 Google Fonts 或第三方字体,浏览器会再请求 fonts.googleapis.com、fonts.gstatic.com 等,漏配时常表现为整页能画线、文字全部退化为系统字体或方块。
第四类是插件市场、内部仓库与资源包:浏览、安装、更新 插件时除主站外,往往还有静态 CDN 与对象存储式主机名。第五类是实时协作与长连接:多光标、评论与图钉同步常见实现为 WebSocket / WebTransport 叠在同一证书域或独立网关域上。若与 HTTP 走不同出口或遇中间盒拦截长连,会表现为「评论发得出、但对方要刷新才出现」的假象。
3 建议的 DOMAIN 覆盖、Web 字体与 FigJam 共用性
基础行建议至少包括:DOMAIN-SUFFIX,figma.com 与 DOMAIN-SUFFIX,figma.io。前者覆盖 www.figma.com、static.figma.com 等子域,后者在部分集成与 API 文档中仍常见。把两者绑定到同一策略组,例如 PROXY_DESIGN,便于在日志里和「工作相关」的其它流量区分命名。FigJam 与 Figma 在网页端同域系内联切换时多复用同一会话与静态资源,一般无需单独再写 figjam. 前缀的第二条业务线,除非你的团队有独立的受限名单。
Web 字体若从 Google 引入,应追加 DOMAIN-SUFFIX,googleapis.com 与 DOMAIN-SUFFIX,gstatic.com,或更窄地只匹配 fonts.googleapis.com 与 fonts.gstatic.com 两条(按你方合规要求取舍)。自托管字体时则改为指向内网或可信镜像的 直连 规则。字体与主站 分流若长期不一致,会出现「能编辑但导出 PDF 时字体子集化失败」一类难以直觉归因的问题,因此建议与 PROXY_DESIGN 保持同一出口哲学,除非财务或法务明确要求分流。
对联合登录,请在抓包或连接日志中确认是否出现 accounts.google.com、login.microsoftonline.com 等:它们不是 figma.com 的子域。要么把它们并入你已有的「云身份 / 办公套件」Rule Provider,要么在 PROXY_DESIGN 之前插入少量精确域名,避免整段 GEOSITE 抢在前头导致误判。
4 可合并进现有配置的 rules: 片段
下表示意如何把 设计协作 相关后缀、字体与可选远程规则集绑到 PROXY_DESIGN。请把组名和 provider URL 换为你自己的;若无远程列表,可删除 RULE-SET 行,仅保留 DOMAIN-SUFFIX 并在日志中按实际出现的主机名逐步补齐。
# Example only — merge with your full profile
proxy-groups:
- name: PROXY_DESIGN
type: select
proxies:
- AUTO-BEST
- DIRECT
rule-providers:
figma-extra:
type: http
behavior: classical
url: "https://example.com/rules/figma-design-2026.txt"
path: ./ruleset/figma-design.yaml
interval: 86400
rules:
- RULE-SET,figma-extra,PROXY_DESIGN
- DOMAIN-SUFFIX,figma.com,PROXY_DESIGN
- DOMAIN-SUFFIX,figma.io,PROXY_DESIGN
- DOMAIN-SUFFIX,googleapis.com,PROXY_DESIGN
- DOMAIN-SUFFIX,gstatic.com,PROXY_DESIGN
若你的文件从不引用 Google Fonts,可删去 googleapis 与 gstatic 两行,改为你团队实际使用的 CDN 后缀。部分环境会出现带版本号的 static.figma.com 与 CloudFront 式主机名:只要证书域仍落在 *.figma.com 下,DOMAIN-SUFFIX,figma.com 应能覆盖;若日志里出现与 Figma 无关的共享 CDN 裸域,更稳妥的做法是用当次抓包确认后再加一行,而不是写极宽的 DOMAIN-KEYWORD 长期保留。
5 规则顺序、Rule Provider 与「专用组」的边界
PROXY_DESIGN 专用条目应出现在过于宽泛的 GEOSITE,cn 或 MATCH 之前。否则常出现:你以为 Figma 走代理,其实被早先一条「国内直连」截胡。使用 Rule Provider 时,为远程列表设置合理的 interval,并在团队内约定谁有权追加域名,避免多人在不同终端手写冲突的 DOMAIN-KEYWORD。与《2026 年用 Clash 稳定访问 Windsurf》类似,AI IDE + 设计工具 可以共用同一 Mihomo 核心,但建议分策略组命名,减少抢出口与排障时的心智负担。
6 桌面 Figma 与 PROCESS-NAME:何时值得加一层
在 Windows 上,官方桌面端以独立进程提供 Chromium 与原生模块组合;在仅开系统代理、且应用未正确继承环境变量时,可能表现为「Edge 能打开 设计协作 页,桌面 Figma 却卡在启动屏」。在已确认 TUN 或「应用已勾选使用系统代理」后仍异常,可在 Mihomo 规则中针对 Figma.exe 增加 PROCESS-NAME 行,将该进程优先导向 PROXY_DESIGN。细节与注意点见《Clash 进程名分流教程:Windows 下让游戏与办公软件走不同节点》——与本文浏览器侧规则是叠加关系,不是二选一。macOS 上通常以 TUN 或应用内代理先尝试;PROCESS-NAME 语义以你当前内核与客户端支持为准,更新系统后若失效请回到连接日志核对面板。
7 TUN、系统代理与多浏览器并存
仅开系统代理时,用外部浏览器做登录、再用桌面应用编辑,两路可能落在不同网络栈上。对经常混用 Figma 浏览器标签与 桌面端 的团队,TUN 模式 能显著减少「一边走了 Clash、一边直连公司防火墙」的割裂。与终端、Git、包管理器混用时,把内网与镜像域名放进 NO_PROXY 或前置 直连 规则,能避免与 设计协作 流量争同一跳。整体策略是:让 OAuth、插件市场 下载、Web 字体 与 长连接 在 同一路由语义 下可解释,而不是靠反复切换「全局 / 规则」来赌。
8 建议排错顺序与典型症候
第一步在 Clash 连接视图中按主机名过滤 figma,确认 figma.com 与 figma.io 命中了 PROXY_DESIGN 与预期节点。第二步单独打开 Web 字体 测试页,确认 gstatic 等请求未被错误直连。第三步在 安装插件 时抓一条完整 HTTPS 与 TLS 时间线,看是否有孤立的 CDN 域落在 DIRECT。第四步用同一节点固定变量,在 实时协作 场景下看心跳或 WebSocket 是否频繁重建;若与 DNS 或 FakeIP 相关,可回到 DNS 专文对表。第五步再讨论 换节点,避免一上来就改订阅或开全局。若 HTTP 403 或身份错误出现在登录回调而非 TLS,多半是 IdP 域 或 Cookie 策略问题,与出口抖动无关,应在账户侧排查。
9 常见问题
- 网页能登录,桌面应用一直离线:检查桌面进程是否进 TUN/系统代理;Windows 上可尝试
PROCESS-NAME,Figma.exe,PROXY_DESIGN与《进程分流》一文的注意点。 - 字体在同事机器正常、在你这边乱码或回退为宋体:多为
gstatic与googleapis或自建字体 CDN 未走同一出口;在规则中补齐后清缓存重载。 - 插件搜索有结果,点安装就超时:在日志中找是否仍有未覆盖的 静态资源 主机名,用 Rule Provider 或单行
DOMAIN-SUFFIX追加,而不是开全局长驻。 - 多人光标延迟大但无丢包提示:在固定节点后观察 WebSocket 是否跨出口;确认未启用对企业 HTTPS 的盲目解密。Sniffer 仅作辅助,与《SNI 专文》一致谨慎开启。
- 和 Windsurf、Copilot 规则会冲突吗:不会天然冲突;注意 规则顺序 与 策略组 分离即可。不同产品 API 面不同,可并行维护多条
PROXY_*组名。
10 总结
2026 年要把 Figma 与 FigJam 的 设计协作 体验在复杂网络下跑稳,关键是拒绝「一个域名走全局」的偷懒写法,把 账户与 OAuth、画板 API、Web 字体、插件市场与 CDN、WebSocket/长连 分层映射到可命名的策略组,用 DOMAIN-SUFFIX 与 Rule Provider 做增量维护。桌面 Windows 在必要时叠加 PROCESS-NAME,与 TUN/系统代理组合,可把浏览器与 桌面客户端 拉到同一套 Clash 分流 语义上。相比反复切换系统代理,这种写法更利于团队 onboarding 与长期排障,也与站内 AI IDE、办公套件 等专题在命名上解耦、在配置上兼容。
Clash 系客户端在规则可读性、Mihomo 生态与多平台界面上对这类「多面手流量」很友好。若你还没有趁手的安装包,可从本站下载页开始;与直接指向 GitHub Release 相比,这里更利于版本管理与安全提示的集中呈现。把 设计工具 的 分流 写清楚,日常返工与「只坏一半界面」的玄学现象会少很多。相较依赖浏览器插件做临时绕行,在 YAML 里可验证、可回滚的命中记录才是可持续的方案。
当线路、DNS 与规则三者对齐后,插件 安装、字体 呈现与多人在线状态会同时受益:这才是 Clash 分流 对 设计协作 场景的真正价值。若你愿意把同一套思路推广到设计体系里的其它 CDN 与字体来源,团队级的网络文档也会更好写、更好执行。
