主题开发08：主题中安全输出与 XSS 防护

安全要求

• 遵循服务端富文本清洗结果，不在模板中拼接不可信 HTML。
• 外部资源尽量本地化，减少不可控第三方脚本依赖。
• 不在主题中注入绕过 CSP 的 inline 脚本方案。

开发建议

1. 用户输入内容默认走转义输出。
2. 仅对经过后端白名单清洗的字段做有限 HTML 渲染。
3. 发布前做一次“恶意内容样本”渲染验证。