优化：文件服务器安全重构+编辑器增强+搜索排序+更新面板Markdown渲染

- 路径校验提取validateFilePath+sentinel error替代字符串匹配 - requireUpdateAPI收敛7处重复nil检查 - 端口18765统一为8073，消除分散魔法数字 - CodeMirror添加搜索功能+滚动位置LRU缓存恢复 - 文件列表新增列排序+搜索过滤 - Toolbar重排：快捷访问内嵌+搜索框集成+历史改图标 - 重命名零闪烁：updateFilePath草稿迁移 - changelog用marked渲染+sanitizeHtml防XSS - MigrateTabConfig扩展map驱动覆盖openclaw-manager→version迁移 Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-04-21 21:53:31 +08:00
parent 691e38604f
commit 72fef3e56f
23 changed files with 614 additions and 257 deletions
--- a/web/src/utils/fileUtils.js
+++ b/web/src/utils/fileUtils.js
@@ -38,6 +38,21 @@ export const escapeHtml = (str) => {
    .replace(/'/g, '&#039;')
 }

+/**
+ * 轻量 HTML 消毒（用于渲染远程 Markdown 等不可信 HTML 片段）
+ * 移除 script/iframe/object/embed 标签和 on* 事件属性
+ */
+export const sanitizeHtml = (html) => {
+  if (!html) return ''
+  return String(html)
+    .replace(/<script\b[^<]*(?:<\/script>|$)/gi, '')
+    .replace(/<iframe\b[^<]*(?:<\/iframe>|$)/gi, '')
+    .replace(/<object\b[^<]*(?:<\/object>|$)/gi, '')
+    .replace(/<embed\b[^>]*\/?>/gi, '')
+    .replace(/\s+on\w+\s*=\s*["'][^"']*["']/gi, '')
+    .replace(/\s+on\w+\s*=\s*[^\s>]*/gi, '')
+}
+
 /**
 * 获取文件扩展名（路径安全）
 * @param {string} path - 文件路径