Flutter for OpenHarmony: Flutter 三方库 sanitize_html 彻底杜绝 XSS 注入风险（鸿蒙 Web 内容安全净化）

优质文章学习记录

06 Apr 2026 — 4 min read

欢迎加入开源鸿蒙跨平台社区：https://openharmonycrossplatform.ZEEKLOG.net

前言

在开发 OpenHarmony 应用时，如果我们需要在 UI 中渲染来自后端的 HTML 内容（例如文章正文、用户评论），或者使用 flutter_html 等库，一个致命的安全风险就是 XSS (跨站脚本攻击)。恶意代码可能会通过 <script> 标签或 onerror 属性在你的 App 内执行非法逻辑。

sanitize_html 是一个轻量级且极高效的 HTML 净化库。它采用白名单机制，能瞬间过滤掉所有不安全的标签和属性，确保你在鸿蒙 App 内渲染的每一行 Web 内容都是绝对安全的。

一、核心防御机制解析

sanitize_html 遵循“默认拒绝”原则，只允许通过安全的 HTML 子集。

剥离 script 标签

移除危险属性

不安全的 HTML (含 script, onclick)

sanitize_html 净化器

安全的 HTML 纯净版

鸿蒙 WebView / HTML Widget

二、核心 API 实战

2.1 简单字符串净化

最基础的场景：防止用户在输入框中注入 <script> 或恶意事件。

import'package:sanitize_html/sanitize_html.dart';voidbasicUsage(){final dirtyHtml ='<p>你好</p><script>alert("攻击!");</script><div onmouseover="doEvil()">查看</div>';// 💡 执行净化：剥离 script 和事件属性 (如 onmouseover)final cleanHtml =sanitizeHtml(dirtyHtml);print(cleanHtml);// 输出结果：<p>你好</p><div>查看</div> }

2.2 保留特定样式的净化

库会根据白名单过滤 CSS 属性，防止诸如 position: fixed 这种破坏布局的注入。

final html ='<span>警告</span>';// 💡 输出：<span>警告</span>// position 被过滤，因为它是潜在的危险样式print(sanitizeHtml(html));

2.3 处理损坏的 HTML 标签

如果输入的 HTML 标签没有正常闭合，sanitize_html 会通过解析器尝试将其补全。

final broken ='<div>未闭合的标签';// 💡 输出：<div>未闭合的标签</div>print(sanitizeHtml(broken));

三、OpenHarmony 平台适配

3.1 混合开发安全

💡 技巧：在鸿蒙的 Web 组件中加载第三方内容前，先在 Dart 层使用 sanitize_html 进行预处理，能有效防止针对原生桥接接口的注入攻击。由于该库不涉及 DOM 操作，其执行速度极快，不会造成页面加载阻塞。

3.2 零依赖优势

它是纯 Dart 编写，不依赖任何平台的原生 Webview 引擎，因此在鸿蒙、Android、iOS 等所有 Flutter 运行环境下的表现是 100% 一致且可预测的。

四、完整实战示例：鸿蒙安全评论显示器

本示例展示在实际项目中如何封装一个安全审查模块，并利用白名单机制主动防御。

import'package:sanitize_html/sanitize_html.dart';classOhosSecurityModule{/// 对用户提交的 HTML 内容进行深度安全审计StringprocessUserContent(String rawInput){// 💡 核心 API：净化内容并为外部链接添加 nofollowfinal sanitized =sanitizeHtml( rawInput, addLinkRelNextToNoFollow:true,);return sanitized;}}voidmain(){final auditor =OhosSecurityModule();final evilInput ='<h4>置顶新闻</h4><img src="x" onerror="stealData()">';final result = auditor.processUserContent(evilInput);print('--- 审计通过的安全内容 ---');print(result);// <h4>置顶新闻</h4><img src="x">}

五、总结

sanitize_html 软件包是每个处理 Web 内容的 OpenHarmony 开发者必须随身携带的“杀毒软件”。在互联网环境日益复杂的今天，即使是简单的文本显示也可能暗藏杀机。通过在数据入口处强行引入这层净化过滤，你能以极低的开发成本，极大地提升鸿蒙应用的整体安全防御水平。

Claude Code 背后的秘密：这套免费课程让我看懂了 AI Agent

大家好，我是悟鸣。（微信公众号：悟鸣AI）很多朋友都在问两个问题： 1. 想系统学习 Agent 原理，但不知道从哪里开始。 2. 已经在用 Claude Code，但想搞清楚它背后的机制。今天这篇就推荐一个很适合入门到进阶的开源项目：learn-claude-code。这个项目解决了什么问题？它把“会用工具”和“理解原理”之间的鸿沟补上了： * 不只讲概念，而是从最小可运行循环开始。 * 每一课只增加一个机制，学习路径清晰。 * 代码能跑、过程可观察、原理可追踪。 GitHub 仓库地址：https://github.com/shareAI-lab/learn-claude-code 先看最小循环：Agent 是怎么“动起来”的这是 AI Coding Agent 的最小循环。生产级 Agent 会在此基础上叠加策略、

NestJS 核心揭秘：InstanceWrapper 的艺术与前端缓存新思路

文章目录 * 概述 * 第一部分：深入幕后——NestJS 的“实例管家” InstanceWrapper * 一、核心职责：不止于封装 * 二、关键属性解构（增强版） * 三、一个实例的生命旅程 * 第二部分：灵感跨界——构建前端页面的“InstanceWrapper”缓存层 * 一、设计哲学：前端数据包装器 * 二、定义我们的“前端 InstanceWrapper” * 三、实现缓存管理器与 React Hook * 四、使用场景示例 * 总结。概述在 NestJS 构建的精密后端世界里，依赖注入（DI）是其生命线。而在这条生命线的核心，有一个默默无闻却至关重要的角色——InstanceWrapper。它不仅是 NestJS 容器中的“实例管家”，更是整个框架实现高效、

Dify vs LangChain+LangGraph：企业AI框架选型指南

2025年10月，LangChain和LangGraph双双发布1.0稳定版，标志着AI应用开发框架进入“生产就绪”时代。对于正在规划AI对话框的企业，Dify和LangChain+LangGraph代表了两种截然不同的技术路线。本文将从介绍、作用、区别、优缺点及选型建议五个维度，帮助技术决策者做出合理选择。一、框架介绍与核心作用 Dify是一个开源的LLM应用开发平台，由国内团队LangGenius开发。它采用低代码/可视化理念，通过拖拽式工作流、内置RAG管道和模型网关，将AI应用开发周期从数周缩短至分钟级。Dify更像一个“AI应用操作系统”，产品经理和业务人员可以直接参与构建。 LangChain是行业标准的LLM应用开发框架，提供100多种模型集成、文档加载器、向量存储接口等组件库。LangGraph则是同一公司推出的低级编排框架，通过状态图建模复杂Agent工作流，支持循环、分支、持久化执行和人机协作。两者是互补关系：LangChain提供组件，LangGraph负责编排。二、核心区别对比维度LangChain + LangGraph (代码框架)D

Claude Code本地化部署教程：零成本打造最强内网AI开发助手

文章介绍了如何通过Ollama将Claude Code接入本地开源模型，实现不联网、不花钱、代码不出本地的开发环境。提供了详细配置教程，包括安装客户端、设置环境变量和启动本地模型。这种方式确保数据安全，无需订阅费用，可自由切换Qwen3、GLM等模型，为开发者提供了完全离线的AI辅助开发体验。如果你是一个开发者，一定被Claude Code的能力震惊了。简单来说，它不仅仅是一个聊天框，而是一个能直接住在你的工作空间内的数字员工，能读懂你的源码、系统功能修BUG、写报告，互联网检索等，在授权的情况下，还能运行终端命令。但是很多人担心隐私泄露，或者不想一直给Claude交昂贵的订阅费。今天，救星来了！通过Ollama可以把 Claude Code 这个“神级躯壳”接入本地运行的开源模型（如 Qwen3、GLM）。不联网、不花钱、代码不出本地，可谓是最强内网开发套装！为什么又要本地跑Claude Code? * 数据安全：公司代码资产，怎么敢随便传输到云端？本地运行，物理隔离最安心。 * 告别订阅：

前言