Flutter for OpenHarmony: Flutter 三方库 sanitize_html 彻底杜绝 XSS 注入风险（鸿蒙 Web 内容安全净化）

优质文章学习记录

05 Apr 2026 — 4 min read

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net

前言

在开发 OpenHarmony 应用时，如果我们需要在 UI 中渲染来自后端的 HTML 内容（例如文章正文、用户评论），或者使用 flutter_html 等库，一个致命的安全风险就是 XSS (跨站脚本攻击)。恶意代码可能会通过 <script> 标签或 onerror 属性在你的 App 内执行非法逻辑。

sanitize_html 是一个轻量级且极高效的 HTML 净化库。它采用白名单机制，能瞬间过滤掉所有不安全的标签和属性，确保你在鸿蒙 App 内渲染的每一行 Web 内容都是绝对安全的。

一、核心防御机制解析

sanitize_html 遵循“默认拒绝”原则，只允许通过安全的 HTML 子集。

剥离 script 标签

移除危险属性

不安全的 HTML (含 script, onclick)

sanitize_html 净化器

安全的 HTML 纯净版

鸿蒙 WebView / HTML Widget

二、核心 API 实战

2.1 简单字符串净化

最基础的场景：防止用户在输入框中注入 <script> 或恶意事件。

import'package:sanitize_html/sanitize_html.dart';voidbasicUsage(){final dirtyHtml ='<p>你好</p><script>alert("攻击!");</script><div onmouseover="doEvil()">查看</div>';// 💡 执行净化：剥离 script 和事件属性 (如 onmouseover)final cleanHtml =sanitizeHtml(dirtyHtml);print(cleanHtml);// 输出结果：<p>你好</p><div>查看</div> }

2.2 保留特定样式的净化

库会根据白名单过滤 CSS 属性，防止诸如 position: fixed 这种破坏布局的注入。

final html ='<span>警告</span>';// 💡 输出：<span>警告</span>// position 被过滤，因为它是潜在的危险样式print(sanitizeHtml(html));

2.3 处理损坏的 HTML 标签

如果输入的 HTML 标签没有正常闭合，sanitize_html 会通过解析器尝试将其补全。

final broken ='<div>未闭合的标签';// 💡 输出：<div>未闭合的标签</div>print(sanitizeHtml(broken));

三、OpenHarmony 平台适配

3.1 混合开发安全

💡 技巧：在鸿蒙的 Web 组件中加载第三方内容前，先在 Dart 层使用 sanitize_html 进行预处理，能有效防止针对原生桥接接口的注入攻击。由于该库不涉及 DOM 操作，其执行速度极快，不会造成页面加载阻塞。

3.2 零依赖优势

它是纯 Dart 编写，不依赖任何平台的原生 Webview 引擎，因此在鸿蒙、Android、iOS 等所有 Flutter 运行环境下的表现是 100% 一致且可预测的。

四、完整实战示例：鸿蒙安全评论显示器

本示例展示在实际项目中如何封装一个安全审查模块，并利用白名单机制主动防御。

import'package:sanitize_html/sanitize_html.dart';classOhosSecurityModule{/// 对用户提交的 HTML 内容进行深度安全审计StringprocessUserContent(String rawInput){// 💡 核心 API：净化内容并为外部链接添加 nofollowfinal sanitized =sanitizeHtml( rawInput, addLinkRelNextToNoFollow:true,);return sanitized;}}voidmain(){final auditor =OhosSecurityModule();final evilInput ='<h4>置顶新闻</h4><img src="x" onerror="stealData()">';final result = auditor.processUserContent(evilInput);print('--- 审计通过的安全内容 ---');print(result);// <h4>置顶新闻</h4><img src="x">}

五、总结

sanitize_html 软件包是每个处理 Web 内容的 OpenHarmony 开发者必须随身携带的“杀毒软件”。在互联网环境日益复杂的今天，即使是简单的文本显示也可能暗藏杀机。通过在数据入口处强行引入这层净化过滤，你能以极低的开发成本，极大地提升鸿蒙应用的整体安全防御水平。

基于.Net的Web API 控制器及方法相关注解属性

文章目录 * 1. 路由与 HTTP 方法 (`Microsoft.AspNetCore.Mvc` 命名空间) * 2. 参数绑定源 (`Microsoft.AspNetCore.Mvc` 命名空间) * 3. 响应类型与格式 (`Microsoft.AspNetCore.Mvc` 命名空间) * 4. 授权与认证 (`Microsoft.AspNetCore.Authorization` 命名空间) * 5. Swagger/OpenAPI 文档增强 (`Swashbuckle.AspNetCore.Annotations` 或 `Microsoft.AspNetCore.Mvc`) 这些属性主要用于定义 API 的路由、HTTP 方法、参数绑定、响应类型、授权、Swagger 文档等，通常位于控制器类或 Action

Go语言中的未来：从泛型到WebAssembly

Go语言中的未来：从泛型到WebAssembly 前言作为一个在小厂挣扎的Go后端老兵，我对Go语言未来的理解就一句话：能进化的绝不固步自封。想当年刚接触Go语言时，它还没有泛型，没有模块系统，甚至连错误处理都被人诟病。现在的Go语言已经今非昔比，泛型来了，模块系统完善了，错误处理也有了更多选择。今天就聊聊Go语言的未来发展，从泛型到WebAssembly，给大家一个能直接抄作业的方案。为什么需要关注Go语言的未来？我见过不少小团队，只关注当前的技术，不关心语言的发展趋势，结果技术栈逐渐落后。关注Go语言的未来能带来很多好处： * 提前准备：了解未来的特性，提前调整代码结构 * 技术选型：根据未来趋势，做出更合理的技术选型 * 职业发展：掌握最新技术，提升个人竞争力 * 项目规划：根据语言发展，制定更合理的项目规划泛型泛型是Go 1.18引入的重要特性，它能让我们编写更加通用的代码。基本用法 // 定义泛型函数 func Map[T, U any](s []T, f

AI agent：介绍 PicoClaw 安装，使用说明

PicoClaw 是一个超轻量级的个人 AI 助手，可以用在从嵌入式开发板到普通电脑的各类设备上。它最吸引人的特点就是极低的资源占用和飞快的启动速度。下面我来为你详细介绍它的安装和使用方法。 📖 PicoClaw 简介 PicoClaw 由矽速科技（Sipeed）开发，使用 Go 语言编写。它的核心优势在于，通过将计算密集的大模型推理任务交给云端 API，本地只负责轻量的协调工作，从而实现了惊人的轻量化。特性OpenClawNanoBotPicoClaw编程语言TypeScriptPythonGo内存占用>1GB>100MB< 10MB启动时间 (0.8GHz核心)>500秒>30秒<1秒硬件成本参考Mac Mini (约$599)多数Linux开发板 (~$50)任意Linux板 (最低$10) 📦 安装指南你可以根据自己的需求和环境，选择以下任意一种方式安装。 * 💾 方式一：预编译二进制（最简单）

8款免费AI生成视频的AI工具

一键式AI生成视频工具涵盖国内主流平台出品和部分海外专业工具，能通过文本、图片等快速生成视频，适配不同创作场景，以下是常用工具介绍： 1. ZapFace：它以图生视频为核心，内置超70种运镜模板与20多种创意特效，拥有Draw-to-Video、Talking Avatars等特色功能，还集成了Google Veo 3等主流模型并搭配自研Soul生图模型，同时提供短视频爆款、商业广告等多类模板，支持1080p超清输出，采用免费版加9 - 79美元/月付费订阅的模式，能助力零基础用户和专业创作者快速制作出电影级视频，适配社交短视频、电商广告、影视短片等多类创作场景。https://www.zapface.app/ 2. 智谱清影：智谱AI的工具，30秒可生成10秒长的4K、60帧高清视频，基于CogVideoX模型能理解文本语义与情感，自带音效生成功能，还可选择背景音乐，基础功能全民免费。https://chatglm.cn/video 3. 可灵：快手自研工具，采用类Sora的技术结构，能生成高分辨率、长时长且符合物理规律的视频，适配多种创意创作场景，

前言