一、背景介绍

鸿蒙应用通过 ArkWeb 组件加载前端页面时，前端可通过 Web 标准 API（如 navigator 系列接口、DeviceMotionEvent 事件）获取设备敏感信息。此类敏感信息涵盖地理位置、音视频采集数据、设备运动状态、剪贴板内容等，若应用未实施严格的安全管控、未获得用户明确授权即返回敏感信息，将导致用户隐私泄露、数据安全违规等风险。

典型敏感信息获取场景如下：

• 地理位置信息：通过 navigator.geolocation 接口获取设备经纬度数据；

• 音视频采集：通过 navigator.mediaDevices.getUserMedia 接口访问设备摄像头、麦克风；

• 设备运动数据：通过 DeviceMotionEvent 事件获取设备加速度、旋转速率等传感器数据；

• 剪贴板操作：通过 navigator.clipboard.readText()/writeText()方法读写系统剪贴板内容。

本文针对上述场景，明确敏感信息安全获取规范，提供错误案例与正确实现方案，防范信息泄露风险。

二、安全获取地理位置信息

ArkWeb 组件通过 onGeolocationShow 回调接口响应前端的地理位置请求，该接口为敏感操作，需严格遵循“用户授权后再返回数据”的原则。

2.1 接口说明与权限要求

onGeolocationShow 接口定义（参考鸿蒙官方文档：事件-Web-ArkTS 组件-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者）

onGeolocationShow(callback: Callback)

通知用户收到地理位置信息获取请求，需配置"ohos.permission.LOCATION"、"ohos.permission.APPROXIMATELY_LOCATION"权限。使用 callback 异步回调。

系统能力： SystemCapability.Web.Webview.Core

参数：

OnGeolocationShowEvent

定义通知用户收到地理位置信息获取请求。

系统能力： SystemCapability.Web.Webview.Core

2.2 invoke 方法参数说明

geolocation.invoke()方法用于设置网页地理位置权限状态，定义如下：

invoke(origin: string, allow: boolean, retain: boolean): void

设置网页地理位置权限状态。

系统能力： SystemCapability.Web.Webview.Core

参数：

展开

2.3 错误与正确实现示例

错误示例（存在泄露风险）

未经用户授权，直接允许前端获取地理位置信息，违反隐私保护原则：

.onGeolocationShow((event) => {  if (event) {    // 未征求用户同意，直接返回位置信息，存在敏感信息泄露风险    event.geolocation.invoke(event.origin, true, false);  }})

正确示例（安全合规）

通过弹窗征求用户明确同意，仅在用户确认后返回地理位置信息，且权限管控仅对当前 Web 组件生效，不影响应用内其他 Web 组件：

.onGeolocationShow((event) => {  this.uiContext.showAlertDialog({    title: '地理位置权限请求',    message: `是否允许${event.origin}获取您的位置信息？`,    primaryButton: {      value: '拒绝',      action: () => {        if (event) {          // 用户拒绝，不返回位置信息          event.geolocation.invoke(event.origin, false, false);        }      }    },    secondaryButton: {      value: '允许',      action: () => {        if (event) {          // 用户同意，返回位置信息（不保存权限状态，仅当前请求生效）          event.geolocation.invoke(event.origin, true, false);        }      }    },    cancel: () => {      if (event) {        // 用户取消，视为拒绝        event.geolocation.invoke(event.origin, false, false);      }    }  })})

三、安全实现音视频采集（摄像头/麦克风）

前端页面通过 navigator.mediaDevices.getUserMedia 接口请求访问摄像头、麦克风时或者通过 DeviceMotionEvent 获取设备的加速度、旋转速率等数据时，ArkWeb 组件通过 onPermissionRequest 回调接口响应，应用需在此回调中完成权限校验与用户授权，严禁未经授权直接授予权限。

3.1 接口说明与权限要求

onPermissionRequest 接口定义（参考鸿蒙官方文档：事件-Web-ArkTS 组件-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者）

onPermissionRequest

onPermissionRequest(callback: Callback)

通知收到获取权限请求，需配置"ohos.permission.CAMERA"、"ohos.permission.MICROPHONE"权限。

系统能力： SystemCapability.Web.Webview.Core

参数：

响应的权限类型如下

ProtectedResourceType

系统能力： SystemCapability.Web.Webview.Core

3.2 错误与正确实现示例

错误示例（存在泄露风险）

未经用户授权，直接授予前端摄像头、麦克风权限，存在音视频数据泄露风险：

.onPermissionRequest((event) => {  // 错误做法：直接授予页面所有请求的权限，未进行用户授权校验  event.request.grant(event.request.getAccessibleResource());})

正确示例（安全合规）

通过弹窗明确告知用户请求的权限类型与请求源，仅在用户确认后授予权限，用户拒绝或取消时明确拒绝权限请求：

.onPermissionRequest((event) => {  if (event) {    const origin = event.request.getOrigin(); // 获取请求源URL    const resource = event.request.getAccessibleResource(); // 获取请求的权限类型    this.uiContext.showAlertDialog({      title: `权限请求（${origin}）`,      message: `是否允许该页面访问您的${resource === 'TYPE_VIDEO_CAPTURE' ? '摄像头' : '麦克风'}？`,      primaryButton: {        value: '拒绝',        action: () => {          // 用户拒绝，明确拒绝权限请求          event.request.deny();        }      },      secondaryButton: {        value: '允许',        action: () => {          // 用户同意，授予请求的权限          event.request.grant(resource);        }      },      autoCancel: false, // 禁止点击弹窗外部取消      cancel: () => {        // 用户取消，视为拒绝        event.request.deny();      }    })  }})

四、剪贴板读写安全管控

前端页面可通过 navigator.clipboard API 实现剪贴板读写操作，其中：

• 写剪贴板：通常无需额外权限，前端可直接调用 writeText()方法写入内容；

• 读剪贴板：需应用拥有剪贴板读取权限，且当前 ArkWeb 组件未提供专门的回调接口响应前端读剪贴板请求，默认允许前端读取剪贴板内容。

风险点：若应用已获取剪贴板读取权限，加载不可信前端页面时，前端可直接读取剪贴板内的敏感信息（如密码、验证码、个人信息等），导致信息泄露。

4.1 安全管控建议

针对剪贴板读取风险，建议采取以下管控措施：

• URL 白名单管控：对 ArkWeb 组件加载的前端 URL 进行白名单筛选，仅允许加载可信域名的页面，禁止加载未知、不可信 URL；

• 权限最小化：若应用无需剪贴板读取功能，不申请剪贴板相关权限，从源头防范泄露风险；

• 敏感信息防护：避免应用主动向剪贴板写入敏感信息（如密码、token 等），若必须写入，需在使用后及时清空剪贴板。

使用 Web 组件与系统剪贴板交互：使用Web组件与系统剪贴板交互处理网页内容-处理网页内容-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者

五、安全建议

结合上述场景，为防范 ArkWeb 组件敏感信息泄露，提出以下通用安全管控建议，确保符合鸿蒙应用安全规范与隐私保护要求：

1. 严格执行用户授权：对于地理位置、摄像头、麦克风、传感器等敏感信息请求，必须通过弹窗等交互方式获取用户明确同意，严禁静默授权、强制授权；

2. 权限最小化配置：仅申请应用业务必需的权限，无需使用的敏感权限（如剪贴板读取、传感器）不配置，减少权限泄露风险；

3. URL 可信管控：对 ArkWeb 组件加载的前端 URL 实施白名单管理，明确可信域名范围，禁止加载不可信、未验证的 URL；详情可参考：鸿蒙应用安全编码专题系列之Web组件URL加载安全 | 华为开发者联盟。

4. 接口规范调用：严格按照鸿蒙官方文档要求调用 onGeolocationShow、onPermissionRequest 等回调接口，不随意简化授权流程、不跳过权限校验；

5. 敏感操作日志记录：对用户授权、敏感信息获取等操作进行日志记录，便于后续安全审计与问题排查；

六、参考文档

• 在 Web 组件中获取位置信息：管理位置权限-设置基本属性和事件-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者

• 在 Web 组件中打开摄像头和麦克风：在Web中打开摄像头和麦克风-使用网页多媒体-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者

• 在 Web 组件中使用运动和方向传感器监测设备状态：使用运动和方向传感器监测设备状态-设置基本属性和事件-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者

• 使用 Web 组件与系统剪贴板交互：使用Web组件与系统剪贴板交互处理网页内容-处理网页内容-ArkWeb（方舟Web）-应用框架 - 华为HarmonyOS开发者

其他鸿蒙应用安全编码专题文章请参考：

https://developer.huawei.com/consumer/cn/blog//topic/03207416677214221