我想建立一个博客,用户可以编写并提交markdown内容到我的服务器postgresql,其中将在发布时在客户端获取和生成。但是,我认为这会遇到XSS攻击。解决这个问题的常见策略是什么?
Markdown本身不会引入任何跨站攻击问题。当您尝试将其转换为HTML时,问题就出现了。
你要做的是验证当你呈现它时,你转义标签内的文本。
。有# Some Title with <script> </script>
这将变成<h1>Some Title with <script> </script></h1>
。这将导致一个问题,但是如果您在文本中转义HTML符号,您将得到这个
<h1>Some Title with <script> </script> </h1>