Flutter for OpenHarmony: Flutter 三方库 sanitize_html 彻底杜绝 XSS 注入风险（鸿蒙 Web 内容安全净化）

Ne0inhk

25 Mar 2026 — 4 min read

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net

前言

在开发 OpenHarmony 应用时，如果我们需要在 UI 中渲染来自后端的 HTML 内容（例如文章正文、用户评论），或者使用 flutter_html 等库，一个致命的安全风险就是 XSS (跨站脚本攻击)。恶意代码可能会通过 <script> 标签或 onerror 属性在你的 App 内执行非法逻辑。

sanitize_html 是一个轻量级且极高效的 HTML 净化库。它采用白名单机制，能瞬间过滤掉所有不安全的标签和属性，确保你在鸿蒙 App 内渲染的每一行 Web 内容都是绝对安全的。

一、核心防御机制解析

sanitize_html 遵循“默认拒绝”原则，只允许通过安全的 HTML 子集。

剥离 script 标签

移除危险属性

不安全的 HTML (含 script, onclick)

sanitize_html 净化器

安全的 HTML 纯净版

鸿蒙 WebView / HTML Widget

二、核心 API 实战

2.1 简单字符串净化

最基础的场景：防止用户在输入框中注入 <script> 或恶意事件。

import'package:sanitize_html/sanitize_html.dart';voidbasicUsage(){final dirtyHtml ='<p>你好</p><script>alert("攻击!");</script><div onmouseover="doEvil()">查看</div>';// 💡 执行净化：剥离 script 和事件属性 (如 onmouseover)final cleanHtml =sanitizeHtml(dirtyHtml);print(cleanHtml);// 输出结果：<p>你好</p><div>查看</div> }

2.2 保留特定样式的净化

库会根据白名单过滤 CSS 属性，防止诸如 position: fixed 这种破坏布局的注入。

final html ='<span>警告</span>';// 💡 输出：<span>警告</span>// position 被过滤，因为它是潜在的危险样式print(sanitizeHtml(html));

2.3 处理损坏的 HTML 标签

如果输入的 HTML 标签没有正常闭合，sanitize_html 会通过解析器尝试将其补全。

final broken ='<div>未闭合的标签';// 💡 输出：<div>未闭合的标签</div>print(sanitizeHtml(broken));

三、OpenHarmony 平台适配

3.1 混合开发安全

💡 技巧：在鸿蒙的 Web 组件中加载第三方内容前，先在 Dart 层使用 sanitize_html 进行预处理，能有效防止针对原生桥接接口的注入攻击。由于该库不涉及 DOM 操作，其执行速度极快，不会造成页面加载阻塞。

3.2 零依赖优势

它是纯 Dart 编写，不依赖任何平台的原生 Webview 引擎，因此在鸿蒙、Android、iOS 等所有 Flutter 运行环境下的表现是 100% 一致且可预测的。

四、完整实战示例：鸿蒙安全评论显示器

本示例展示在实际项目中如何封装一个安全审查模块，并利用白名单机制主动防御。

import'package:sanitize_html/sanitize_html.dart';classOhosSecurityModule{/// 对用户提交的 HTML 内容进行深度安全审计StringprocessUserContent(String rawInput){// 💡 核心 API：净化内容并为外部链接添加 nofollowfinal sanitized =sanitizeHtml( rawInput, addLinkRelNextToNoFollow:true,);return sanitized;}}voidmain(){final auditor =OhosSecurityModule();final evilInput ='<h4>置顶新闻</h4><img src="x" onerror="stealData()">';final result = auditor.processUserContent(evilInput);print('--- 审计通过的安全内容 ---');print(result);// <h4>置顶新闻</h4><img src="x">}

五、总结

sanitize_html 软件包是每个处理 Web 内容的 OpenHarmony 开发者必须随身携带的“杀毒软件”。在互联网环境日益复杂的今天，即使是简单的文本显示也可能暗藏杀机。通过在数据入口处强行引入这层净化过滤，你能以极低的开发成本，极大地提升鸿蒙应用的整体安全防御水平。

Flutter 三方库 shelf_cors_headers 的鸿蒙化适配指南 - 实现具备跨域安全访问策略的服务端拦截器、支持端侧微服务网关与分布式请求治理实战

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net Flutter 三方库 shelf_cors_headers 的鸿蒙化适配指南 - 实现具备跨域安全访问策略的服务端拦截器、支持端侧微服务网关与分布式请求治理实战前言在进行 Flutter for OpenHarmony 的桌面端辅助开发或基于 shelf 的嵌入式轻量级服务器开发时，如何解决不同起源（Origin）请求带来的跨域（CORS）限制？尤其是在构建用于管理鸿蒙本地资源的数据面板时，跨域策略是确保浏览器或 App 能够安全访问本地 HTTP 服务的基础。shelf_cors_headers 是专为 shelf 服务器设计的中间件。本文将探讨如何在鸿蒙端构建极致、安全的请求治理层。一、原直观解析 / 概念介绍 1.1 基础原理该中间件作为 shelf 处理链条中的一个“

Claude Code、OpenClaw、OpenCode 架构对比 — 及 SkillLite 的借鉴与取长补短

一、概述当前 AI 编码 Agent 有三条主流路线：Claude Code（闭源商业）、OpenClaw（开源多通道网关）、OpenCode（开源编码 Agent）。SkillLite 在深度研究上述框架之后整合各个框架的长处，取长补短，构建：开源 + 本地 + 安全沙箱 + 引擎级自进化。本文从架构视角对比四者，并说明 SkillLite 如何借鉴三者之长、补三者之短。维度 Claude Code OpenClaw OpenCode SkillLite-agent 定位闭源商业 AI 编码助手开源多通道 AI 网关开源 AI 编码 Agent 开源安全自进化 Agent 引擎技术栈闭源（

理解 Stage 模型 —— HarmonyOS 应用架构新标准

个人主页：ujainu 文章目录 * 引言：为什么必须掌握 Stage 模型？ * 一、Stage 模型 vs FA 模型：架构演进之路 * 1. FA 模型（已废弃） * 2. Stage 模型（现代标准） * 二、Stage 模型三大核心概念 * 1. UIAbility：应用的能力入口 * 2. WindowStage：窗口管理中枢 * 3. Context：上下文获取桥梁 * 三、项目结构文件详解（Stage 模型专属） * 1. `main_pages.json`：页面路由清单 * 2. `module.json5`：模块级配置（核心！） * 3. `build-profile.

论大模型应用架构（RAG/Agent）的设计与应用——以自动驾驶数据闭环平台为例

【摘要】 2025年5月，我有幸作为核心系统架构师，主持了某新能源车企“新一代自动驾驶数据闭环平台”的重构与升级工作。该平台旨在解决海量路测数据中长尾场景（Corner Case）挖掘难、数据标注效率低以及仿真场景生成成本高等核心痛点。鉴于传统深度学习模型在复杂语义理解和逻辑推理上的局限性，我们构建了一套基于 RAG（检索增强生成）与 Agent（智能体）协同的 AI 原生数据闭环架构。本文以该项目为例，论述了大模型应用架构的设计。首先，通过构建多模态向量数据库与语义索引，利用 RAG 技术实现了对 PB 级驾驶数据的自然语言检索与长尾场景挖掘；其次，基于 ReAct 范式设计了数据处理 Agent 集群，利用工具调用（Function Calling）实现了从数据清洗、自动标注到仿真场景重建的全流程自动化；最后，采用了私有化部署的 LLM（大语言模型）与 VLM（视觉语言模型）协同工作，配合推理加速技术，

前言