Flutter for OpenHarmony: Flutter 三方库 sanitize_html 彻底杜绝 XSS 注入风险（鸿蒙 Web 内容安全净化）

Ne0inhk

22 Mar 2026 — 4 min read

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net

前言

在开发 OpenHarmony 应用时，如果我们需要在 UI 中渲染来自后端的 HTML 内容（例如文章正文、用户评论），或者使用 flutter_html 等库，一个致命的安全风险就是 XSS (跨站脚本攻击)。恶意代码可能会通过 <script> 标签或 onerror 属性在你的 App 内执行非法逻辑。

sanitize_html 是一个轻量级且极高效的 HTML 净化库。它采用白名单机制，能瞬间过滤掉所有不安全的标签和属性，确保你在鸿蒙 App 内渲染的每一行 Web 内容都是绝对安全的。

一、核心防御机制解析

sanitize_html 遵循“默认拒绝”原则，只允许通过安全的 HTML 子集。

剥离 script 标签

移除危险属性

不安全的 HTML (含 script, onclick)

sanitize_html 净化器

安全的 HTML 纯净版

鸿蒙 WebView / HTML Widget

二、核心 API 实战

2.1 简单字符串净化

最基础的场景：防止用户在输入框中注入 <script> 或恶意事件。

import'package:sanitize_html/sanitize_html.dart';voidbasicUsage(){final dirtyHtml ='<p>你好</p><script>alert("攻击!");</script><div onmouseover="doEvil()">查看</div>';// 💡 执行净化：剥离 script 和事件属性 (如 onmouseover)final cleanHtml =sanitizeHtml(dirtyHtml);print(cleanHtml);// 输出结果：<p>你好</p><div>查看</div> }

2.2 保留特定样式的净化

库会根据白名单过滤 CSS 属性，防止诸如 position: fixed 这种破坏布局的注入。

final html ='<span>警告</span>';// 💡 输出：<span>警告</span>// position 被过滤，因为它是潜在的危险样式print(sanitizeHtml(html));

2.3 处理损坏的 HTML 标签

如果输入的 HTML 标签没有正常闭合，sanitize_html 会通过解析器尝试将其补全。

final broken ='<div>未闭合的标签';// 💡 输出：<div>未闭合的标签</div>print(sanitizeHtml(broken));

三、OpenHarmony 平台适配

3.1 混合开发安全

💡 技巧：在鸿蒙的 Web 组件中加载第三方内容前，先在 Dart 层使用 sanitize_html 进行预处理，能有效防止针对原生桥接接口的注入攻击。由于该库不涉及 DOM 操作，其执行速度极快，不会造成页面加载阻塞。

3.2 零依赖优势

它是纯 Dart 编写，不依赖任何平台的原生 Webview 引擎，因此在鸿蒙、Android、iOS 等所有 Flutter 运行环境下的表现是 100% 一致且可预测的。

四、完整实战示例：鸿蒙安全评论显示器

本示例展示在实际项目中如何封装一个安全审查模块，并利用白名单机制主动防御。

import'package:sanitize_html/sanitize_html.dart';classOhosSecurityModule{/// 对用户提交的 HTML 内容进行深度安全审计StringprocessUserContent(String rawInput){// 💡 核心 API：净化内容并为外部链接添加 nofollowfinal sanitized =sanitizeHtml( rawInput, addLinkRelNextToNoFollow:true,);return sanitized;}}voidmain(){final auditor =OhosSecurityModule();final evilInput ='<h4>置顶新闻</h4><img src="x" onerror="stealData()">';final result = auditor.processUserContent(evilInput);print('--- 审计通过的安全内容 ---');print(result);// <h4>置顶新闻</h4><img src="x">}

五、总结

sanitize_html 软件包是每个处理 Web 内容的 OpenHarmony 开发者必须随身携带的“杀毒软件”。在互联网环境日益复杂的今天，即使是简单的文本显示也可能暗藏杀机。通过在数据入口处强行引入这层净化过滤，你能以极低的开发成本，极大地提升鸿蒙应用的整体安全防御水平。

不用部署服务器，也能给前端 / 客户演示？内网穿透实战分享

在日常开发中，经常会遇到一个很现实的问题：功能已经在本地开发完成了，但前端同事、测试、客户都看不到效果。很多人的第一反应是：部署一套测试服务器。但实际情况往往是 * 服务器没准备好 * 只是临时演示 * 改动频繁，反复部署很浪费时间后来我发现，其实根本不需要部署服务器，用内网穿透就能很优雅地解决这个问题。一、真实场景说明场景 1：给前端联调接口后端服务跑在本地： http://localhost:8080 问题是： * 前端在外地 * 无法访问本地接口 * 每次改接口都要重新部署场景 2：给客户演示功能 * 新功能刚开发完 * 客户想先看看效果 * 但还没上线正式环境这时候再去搞服务器，明显有点“杀鸡用牛刀”。二、传统方案为什么不太合适？对于“临时演示 / 联调”来说，都太重了。三、解决方案：内网穿透内网穿透的核心思路只有一句话：把你本地的服务，

Java Web从入门到精通：全面探索与实战（二）

Java Web从入门到精通：全面探索与实战（一）-ZEEKLOG博客目录四、Java Web 开发中的数据库操作：以 MySQL 为例 4.1 MySQL 数据库基础操作 4.2 JDBC 技术深度解析 4.3 数据库连接池的应用五、Java Web 中的会话技术：Cookie 与 Session 5.1 Cookie 详解 5.2 Session 详解四、Java Web 开发中的数据库操作：以 MySQL 为例 4.1 MySQL 数据库基础操作

【AI】——结合Ollama、Open WebUI和Docker本地部署可视化AI大语言模型

🎼个人主页：【Y小夜】 😎作者简介：一位双非学校的大三学生，编程爱好者，专注于基础和实战分享，欢迎私信咨询！ 🎆入门专栏：🎇【MySQL，Javaweb，Rust，python】 🎈热门专栏：🎊【Springboot，Redis，Springsecurity，Docker，AI】感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持！❤️ 目录 🎈本地部署模型 🎉安装Ollama 🎉安装 Open WebUI 🎊安装Docker 🥞启动 Hyper-v 🥞 安装 WSL（适用于Linux的Windows的子系统）： 🥞安装Docker 🎊Docker 部署 Open WebUI 🎈本地部署模型 🎉安装Ollama 官网： Ollama 然后进行一下下载安装完成之后是没有提示的，然后我们需要去测试一下。（这里我是以QWen为例子，大家可以尝试其他的模型）打开一个终端，

聪明的人已经发现，26年的前端不对劲了！

最近在筛简历时发现一个有趣现象：很多自称“精通Vue/React”的候选人，被问到“为什么Vue3要用Proxy替代defineProperty”时，答案依然停留在“性能更好”这种表面说辞；能熟练配置Webpack的人，却说不太清Tree Shaking在ES Modules和CommonJS环境下工作机理的本质差异。更明显的是面试中的两极分化——一部分人还在卷“手写Promise/虚拟DOM”这类经典八股，另一部分人已经开始被追问“如何为微前端场景设计CSS沙箱”、“如何在React Server Components中处理第三方非兼容库”。前者回答得再流畅，也掩盖不住对现代工程化场景的陌生；后者哪怕某个细节卡壳，展现的却是解决真实复杂问题的思维路径。这种割裂感背后，是前端技术演进轨迹的明显转向： 1. “框架熟练工”价值正在稀释当create-vite、Next.js、Nuxt这类工具链能自动生成80%的配置，当Copilot能补全半数业务组件代码，“会用框架”已从稀缺能力变为入职基线。企业开始默认你应该掌握框架，然后追问：“框架为什么这样设计？它解决了什么特

前言