Anki 项目近期 JavaScript 安全更新解析与解决方案

近期 Anki 项目针对编辑器界面进行了重要的 JavaScript 安全升级，这一变更旨在解决潜在的安全隐患，但同时也带来了一些意料之外的兼容性问题。本文将深入剖析这一技术变更的背景、影响范围以及最终解决方案。

安全背景与问题本质

Anki 编辑器需要访问私有 API 端点来实现诸如读取本地图片内容等功能。然而，当用户在字段中嵌入 JavaScript 代码时，这些代码在编辑器环境中执行就可能利用这些私有端点进行恶意操作。这是一个典型的内容安全策略(CSP)问题。

特别值得注意的是：

• 编辑器自身的 JavaScript 功能必须保留
• 用户字段中的 JavaScript 需要被隔离或禁用
• 目前尚未发现实际攻击案例，但公开披露后风险增加

初始解决方案及其局限性

开发团队最初采用了 DOMPurify 这一流行的 HTML/JS 净化库来处理字段内容。理论上，这个方案应该：

• 保留常规卡片内容
• 仅移除 onclick 等事件处理器

但实际应用中发现了多个问题：

1. 过度清理非标准 HTML 标签
2. 破坏 SVG 文件中的特定标签
3. 过滤非 HTTP 协议的链接（影响字典链接等功能）
4. 移除嵌入式 iframe
5. 非确定性地重排属性顺序，导致不必要的内容同步

技术权衡与解决方案演进

团队考虑了多种替代方案：

1. 可选禁用机制：允许用户关闭过滤功能，但会带来安全风险
2. 编辑禁用机制：检测到内容被修改时禁止编辑，但 DOMPurify 的 removed 属性不可靠
3. 放宽过滤规则：定制白名单，但难以覆盖所有用户场景
4. 导入时过滤：无法保护现有笔记，且安全边界不清晰

最终解决方案采用了内容安全策略(CSP)技术：

• 为 Anki 自身脚本添加 nonce 或 hash 验证
• 通过 HTTP 头严格限制可执行脚本
• 同时保持了必要的扩展性，确保插件系统不受影响

实际影响与修复

这次更新主要影响了以下场景：

• 包含自定义 HTML 标签的内容（如日语音调标记）
• 编辑器工具栏插件按钮
• 特殊协议链接和嵌入式内容

团队通过快速迭代发布了多个修复版本(25.02.2-25.02.4)，主要改进包括：

• 恢复插件按钮功能
• 优化 CSP 策略配置
• 添加适当的用户提示机制

对用户的最佳实践建议

1. 及时升级到最新稳定版本
2. 检查包含特殊HTML标记的笔记
3. 关注编辑器的内容修改警告
4. 分享牌组时注意潜在的安全影响

这次安全更新体现了 Anki 团队对安全问题的重视，也展示了在复杂应用环境中平衡安全与兼容性的挑战。通过技术方案的持续优化，最终实现了既保障安全又不牺牲核心用户体验的目标。