惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
Vulnerabilities – Threatpost
T
The Blog of Author Tim Ferriss
S
SegmentFault 最新的问题
D
DataBreaches.Net
博客园_首页
罗磊的独立博客
B
Blog
T
Threat Research - Cisco Blogs
C
Cisco Blogs
GbyAI
GbyAI
Engineering at Meta
Engineering at Meta
WordPress大学
WordPress大学
G
GRAHAM CLULEY
H
Help Net Security
酷 壳 – CoolShell
酷 壳 – CoolShell
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
爱范儿
爱范儿
SecWiki News
SecWiki News
T
Threatpost
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Schneier on Security
Schneier on Security
T
The Exploit Database - CXSecurity.com
Google Online Security Blog
Google Online Security Blog
T
Tor Project blog
小众软件
小众软件
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Y
Y Combinator Blog
H
Hacker News: Front Page
V
V2EX
Security Latest
Security Latest
Cloudbric
Cloudbric
Simon Willison's Weblog
Simon Willison's Weblog
Attack and Defense Labs
Attack and Defense Labs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
P
Proofpoint News Feed
博客园 - 三生石上(FineUI控件)
NISL@THU
NISL@THU
S
Secure Thoughts
Blog — PlanetScale
Blog — PlanetScale
博客园 - 司徒正美
V2EX - 技术
V2EX - 技术
Vercel News
Vercel News
P
Palo Alto Networks Blog
IT之家
IT之家
MyScale Blog
MyScale Blog
有赞技术团队
有赞技术团队
Application and Cybersecurity Blog
Application and Cybersecurity Blog
D
Docker
Google DeepMind News
Google DeepMind News
Webroot Blog
Webroot Blog

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
鸿蒙应用安全编码专题系列之Web组件权限安全
华为开发者联盟 · 2026-05-22 · via 人人都是产品经理

一、背景介绍

鸿蒙应用通过ArkWeb组件加载前端页面时,前端可通过Web标准API(如navigator系列接口、DeviceMotionEvent事件)获取设备敏感信息。此类敏感信息涵盖地理位置、音视频采集数据、设备运动状态、剪贴板内容等,若应用未实施严格的安全管控、未获得用户明确授权即返回敏感信息,将导致用户隐私泄露、数据安全违规等风险。

典型敏感信息获取场景如下:

  • 地理位置信息:通过navigator.geolocation接口获取设备经纬度数据;
  • 音视频采集:通过navigator.mediaDevices.getUserMedia接口访问设备摄像头、麦克风;
  • 设备运动数据:通过DeviceMotionEvent事件获取设备加速度、旋转速率等传感器数据;
  • 剪贴板操作:通过navigator.clipboard.readText()/writeText()方法读写系统剪贴板内容。

本文针对上述场景,明确敏感信息安全获取规范,提供错误案例与正确实现方案,防范信息泄露风险。

二、安全获取地理位置信息

ArkWeb组件通过onGeolocationShow回调接口响应前端的地理位置请求,该接口为敏感操作,需严格遵循“用户授权后再返回数据”的原则。

2.1 接口说明与权限要求

onGeolocationShow接口定义(参考鸿蒙官方文档:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者

onGeolocationShow(callback: Callback<OnGeolocationShowEvent>)

通知用户收到地理位置信息获取请求,需配置”ohos.permission.LOCATION”、”ohos.permission.APPROXIMATELY_LOCATION”权限。使用callback异步回调。

系统能力: SystemCapability.Web.Webview.Core

参数:

参数名 类型 必填 说明
callback Callback<OnGeolocationShowEvent> 回调函数,请求显示地理位置权限时触发,返回地理位置信息请求对象。

OnGeolocationShowEvent

定义通知用户收到地理位置信息获取请求。

系统能力: SystemCapability.Web.Webview.Core

名称 类型 只读 可选 说明
origin string 指定源的字符串索引。
geolocation JsGeolocation 通知Web组件用户操作行为。

2.2 invoke方法参数说明

geolocation.invoke()方法用于设置网页地理位置权限状态,定义如下:

invoke(origin: string, allow: boolean, retain: boolean): void

设置网页地理位置权限状态。

系统能力: SystemCapability.Web.Webview.Core

参数:

展开

参数名 类型 必填 说明
origin string 指定源的字符串索引。
allow boolean 设置的地理位置权限状态。

true表示开启地理位置权限,false表示不开启地理位置权限。

retain boolean 是否允许将地理位置权限状态保存到系统中。可通过GeolocationPermissions接口管理保存到系统的地理位置权限。

true表示允许将地理位置权限状态保存到系统中,false表示不允许将地理位置权限状态保存到系统中。

2.3 错误与正确实现示例

错误示例(存在泄露风险)未经用户授权,直接允许前端获取地理位置信息,违反隐私保护原则:

正确示例(安全合规)

通过弹窗征求用户明确同意,仅在用户确认后返回地理位置信息,且权限管控仅对当前Web组件生效,不影响应用内其他Web组件:

三、安全实现音视频采集(摄像头/麦克风)

前端页面通过navigator.mediaDevices.getUserMedia接口请求访问摄像头、麦克风时或者通过DeviceMotionEvent获取设备的加速度、旋转速率等数据时,ArkWeb组件通过onPermissionRequest回调接口响应,应用需在此回调中完成权限校验与用户授权,严禁未经授权直接授予权限。

3.1 接口说明与权限要求

onPermissionRequest接口定义(参考鸿蒙官方文档:事件-Web-ArkTS 组件-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者

onPermissionRequest

onPermissionRequest(callback: Callback<OnPermissionRequestEvent>)

通知收到获取权限请求,需配置”ohos.permission.CAMERA”、”ohos.permission.MICROPHONE”权限。

系统能力: SystemCapability.Web.Webview.Core

参数:

参数名 类型 必填 说明
callback Callback<OnPermissionRequestEvent> 通知收到获取权限请求触发。

响应的权限类型如下

ProtectedResourceType

系统能力: SystemCapability.Web.Webview.Core

名称 说明 可申请的权限
MidiSysex TYPE_MIDI_SYSEX MIDI SYSEX资源。

目前仅支持权限事件上报,MIDI设备的使用还未支持。

暂不支持申请使用MIDI(Musical Instrument Digital Interface)设备相关权限。
VIDEO_CAPTURE TYPE_VIDEO_CAPTURE 视频捕获资源,例如相机。 相机权限:ohos.permission.CAMERA。
AUDIO_CAPTURE TYPE_AUDIO_CAPTURE 音频捕获资源,例如麦克风。 麦克风权限:ohos.permission.MICROPHONE。
SENSOR TYPE_SENSOR 传感器资源,例如加速度传感器。 加速度传感器权限:ohos.permission.ACCELEROMETER、

陀螺仪传感器权限:ohos.permission.GYROSCOPE。

3.2 错误与正确实现示例

错误示例(存在泄露风险)未经用户授权,直接授予前端摄像头、麦克风权限,存在音视频数据泄露风险:

正确示例(安全合规)

通过弹窗明确告知用户请求的权限类型与请求源,仅在用户确认后授予权限,用户拒绝或取消时明确拒绝权限请求:

四、剪贴板读写安全管控

前端页面可通过navigator.clipboard API实现剪贴板读写操作,其中:

  • 写剪贴板:通常无需额外权限,前端可直接调用writeText()方法写入内容;
  • 读剪贴板:需应用拥有剪贴板读取权限,且当前ArkWeb组件未提供专门的回调接口响应前端读剪贴板请求,默认允许前端读取剪贴板内容

风险点:若应用已获取剪贴板读取权限,加载不可信前端页面时,前端可直接读取剪贴板内的敏感信息(如密码、验证码、个人信息等),导致信息泄露。

4.1 安全管控建议

针对剪贴板读取风险,建议采取以下管控措施:

  • URL白名单管控:对ArkWeb组件加载的前端URL进行白名单筛选,仅允许加载可信域名的页面,禁止加载未知、不可信URL;
  • 权限最小化:若应用无需剪贴板读取功能,不申请剪贴板相关权限,从源头防范泄露风险;
  • 敏感信息防护:避免应用主动向剪贴板写入敏感信息(如密码、token等),若必须写入,需在使用后及时清空剪贴板。

使用Web组件与系统剪贴板交互:使用Web组件与系统剪贴板交互处理网页内容-处理网页内容-ArkWeb(方舟Web)-应用框架 – 华为HarmonyOS开发者

五、安全建议

结合上述场景,为防范ArkWeb组件敏感信息泄露,提出以下通用安全管控建议,确保符合鸿蒙应用安全规范与隐私保护要求:

  1. 严格执行用户授权:对于地理位置、摄像头、麦克风、传感器等敏感信息请求,必须通过弹窗等交互方式获取用户明确同意,严禁静默授权、强制授权;
  2. 权限最小化配置:仅申请应用业务必需的权限,无需使用的敏感权限(如剪贴板读取、传感器)不配置,减少权限泄露风险;
  3. URL可信管控:对ArkWeb组件加载的前端URL实施白名单管理,明确可信域名范围,禁止加载不可信、未验证的URL;详情可参考:鸿蒙应用安全编码专题系列之Web组件URL加载安全 | 华为开发者联盟
  4. 接口规范调用:严格按照鸿蒙官方文档要求调用onGeolocationShow、onPermissionRequest等回调接口,不随意简化授权流程、不跳过权限校验;
  5. 敏感操作日志记录:对用户授权、敏感信息获取等操作进行日志记录,便于后续安全审计与问题排查;

六、参考文档

其他鸿蒙应用安全编码专题文章请参考:

https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221