使用markdown的最佳方法是什么?
第一个选项,我不必使用未转义的数据,但这意味着我必须使用javascript来解析很多降价语法,就像在评论帖子上一样。
第二个选项可能会给我性能,因为我现在可以直接将数据加载到DOM,但这也意味着我必须加载它未转义。
您会推荐哪种方法,还是有其他更好的方法?
答案 0 :(得分:0)
在我看来,我认为第二种方法并不安全。您无法信任用户提交正确的" html"由markdown呈现并且你永远不应该在原始html中呈现用户提交数据(没有转义),将会轻松注入脚本。我会选择选项1