我坚持决定如何进行Markdown处理和Html清理。我对评论/文章有这个用户要求:
我甚至向markdig库提交了修复,以支持媒体扩展中的yandex.music。但是现在我被卡住了。有我探索的选项:
我已将Markdig配置为将youtube / yandex.music转换为iframe,而不是使用HtmlRuleSanitizer进行清理。 HtmlRuleSanitizer没有选项仅允许iframe用于列入白名单的域名 - 因此它会删除youtube.com,或者允许evilsite.com。我提交了suggestion但未收到任何答复。
据我所知,这将允许各种XSS攻击 - 因为Markdown-to-Html转换为inherently unsafe。
根据同一篇文章,这也不安全。
这个清理程序有适当的钩子(后处理节点),但是我担心这个库的支持,尤其是主要依赖 - AngleSharp支持(它有活跃的可重现性崩溃,似乎正在积极开发中) o提供稳定的API,因此HtmlSanitizer似乎很难继续使用。)
那么,有什么建议我可以实现这个目标吗?我拒绝相信我只是这个问题的一个人,我希望应该可以解决.net中现有的库。如果需要的话,我已准备好向上游贡献一些功能,但我还没准备好任何东西。 : - )