我在Nodejs和MongoDB中使用PUG模板。
我的代码:
当我使用时:
// Load Article content
.p #{articleBody}
然后 HTML元素,例如<b>, <br/>等...
未解析。但是当我使用时:
// Load Article content
.p !{articleBody}
所有HTML元素都会被解析,输出文本的格式取决于所使用的HTML标签。
现在的问题是:
如何将PUG包含MARKDOWN或WYSIWYG,这样我就不必输入这些HTML元素。
如何禁用script,XSS或任何漏洞标记?如果有人输入它,而不是解析,我只想输出整个文本/代码。
以下代码:
.p !{articleBody}
启用所有功能,甚至在页面加载时运行<script> alert("alert message") </script>。但我只希望解析简单的HTML元素,例如<b>, <i>, <u>, <img />, <br />等...