极客观点
项目管理
HarmonyOS
如果用户提交的 MD 源码带 XSS 代码的话,是不是就不行了?如果响应经过 html 转义的话,MD 前端渲染器能正确处理吗?安全方面的事我不敢自己推理和试验,怕出错。我打算用 markdown-it,我还想用图表插件,图表插件好像一般都会用 json,不知道会不会有转义的问题。
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
如果用户提交的 MD 源码带 XSS 代码的话,是不是就不行了?如果响应经过 html 转义的话,MD 前端渲染器能正确处理吗?安全方面的事我不敢自己推理和试验,怕出错。我打算用 markdown-it,我还想用图表插件,图表插件好像一般都会用 json,不知道会不会有转义的问题。
如果只是支持基础的 Markdown 语法 就没问题,基础的 MD 我记得是不支持内嵌
Script的。还有就是可能需要关闭对内嵌HTML内容的渲染。当然,用户输入的内容在写入数据库之前必定要经过
XSS过滤转义的。安全 | markdown-it 中文文档