Anki 25.02版本HTML内容安全策略变更解析

背景与问题现象

Anki作为知名记忆辅助工具，在25.02版本升级后对卡片编辑器的HTML处理逻辑进行了重要调整。用户反馈在升级至25.02.1版本后，发现以下内容被自动处理：

1. 所有iframe元素（如YouTube嵌入代码）在编辑/预览时被静默移除
2. 内联SVG的属性和注释被重新排序或删除（如id、version等非敏感属性）
3. HTML注释内容被清除

技术原理分析

该变更源于Anki引入的更严格的内容安全策略(CSP)。现代Web应用中，iframe元素可能带来以下风险：

• 跨站脚本攻击(XSS)的潜在载体
• 隐私泄露风险（通过referrer策略规避）
• 资源加载性能影响

SVG处理方面，新版本：

1. 对属性进行标准化排序（按字母倒序）
2. 移除了开发辅助的注释内容
3. 保留了核心渲染属性（如viewBox、fill等）

解决方案与应对建议

对于依赖iframe嵌入的用户：

1. 考虑转为使用Anki的媒体嵌入功能（支持部分视频平台）
2. 改用静态截图+超链接的组合方案
3. 对于本地使用场景，可通过降级到24.11版本临时解决

SVG内容处理建议：

1. 关键交互元素避免依赖id属性
2. 使用CSS类替代行内样式
3. 重要注释可转为隐藏的
   元素存储

版本演进

在后续的25.02.4版本中，开发团队对处理策略进行了优化：

• 明确了内容过滤的白名单规则
• 改进了变更提示机制
• 保留了更多安全的SVG特性

最佳实践

1. 重要内容做好版本备份
2. 复杂卡片采用模块化设计
3. 定期检查Anki的更新日志
4. 考虑使用Anki插件系统扩展编辑功能

该变更体现了Anki在易用性与安全性之间的平衡考量，建议用户适应新的内容策略，同时开发团队也表示将持续优化相关处理逻辑。