关于如何对WMD编辑器生成的Markdown进行服务器端清理以确保生成的HTML不包含恶意脚本，如下所示:但我也没有找到堵住客户端漏洞的好方法。当然，客户端验证不能替代服务器上的清理验证，因为任何人都可以假装是客户端并向您发送令人讨厌的Markdown。而且，如果您在服务器上删除HTML，攻击者将无法保存错误的HTML，这样其他人以后就无法看到它，并且他们的cookie被盗或session被错误的脚本劫持。因此，有一个有效的案例表明，在WMD预览Pane中执行无脚本规则可能也不值得。但想象一下，攻击者找到了一种将恶意Markdown放到服务器上的方法(例如，来自另一个站点的受损提要，或

看，我正在关注derobins-wmd的wmd-test.html，除了把那些东西放在一个隐藏的div中。uncaughtexception:[Exception..."Componentreturnedfailurecode:0x80004005(NS_ERROR_FAILURE)[nsIDOMNSHTMLTextAreaElement.selectionStart]"nsresult:"0x80004005(NS_ERROR_FAILURE)"location:"JSframe::http://localhost/derobins-wmd-980f687/wmd.js::anony

为了清楚起见，我指的是stackoverflow'sforkedWMD的用法,不是originalversionfromattacklab.我想使用fork版本，但是脚本用来识别WMDify页面元素的divid似乎硬编码在wmd.js:66中://Acollectionoftheimportantregionsonthepage.//Cachedsowedon'thavetokeeptraversingtheDOM.wmd.PanelCollection=function(){this.buttonBar=doc.getElementById("wmd-button-bar");thi

我非常喜欢StackOverflow评论UI，我正在考虑在我自己的网站上实现同样的功能。我查看了代码，看起来这里的主要工具是WMD,与JQueryTextAreaResizer起到辅助作用。WMD在客户端将Markdown转换为HTML。这非常好，因为它有助于预览，但我在将其发送到服务器时遇到了挑战。如果存在验证错误(比如用户在评论表单的其他部分输入了无效的电子邮件地址，或者他可能没有输入他的名字)，那么服务器会通过重新显示带有错误消息的表单来响应，并且预填充的表单字段。只是现在评论文本是HTML，而不是Markdown，因为服务器甚至都没有看到Markdown。但我希望它是Markd

似乎WMD-Editor正在向服务器发送HTML而不是markdown。我怎样才能让它发送Markdown？ 最佳答案 在SO版本的master分支中，有意思的是第2341行:Attacklab.wmd_defaults={version:1,output:"HTML",lineLength:40,delayLoad:false};将此更改为要求Markdown:Attacklab.wmd_defaults={version:1,output:"markdown",lineLength:40,delayLoad:false};..你

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提出有关书籍、工具、软件库等建议的问题。您可以编辑问题，以便可以用事实和引用来回答它。上个月关门。社区上个月审查了是否重新打开此问题并将其关闭:原始关闭原因未解决Improvethisquestion我正在寻找一个用JavaScript编写的简单的HTMLsanitizer。它不需要100%XSS安全。我正在我的网站上实现Markdown和WMDMarkdown编辑器(来自github的SO主分支)。问题是实时预览中显示的HTML没有被过滤，就像它在SO上一样。我正在寻找一个用JavaScr

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提出有关书籍、工具、软件库等建议的问题。您可以编辑问题，以便可以用事实和引用来回答它。上个月关门。社区上个月审查了是否重新打开此问题并将其关闭:原始关闭原因未解决Improvethisquestion我正在寻找一个用JavaScript编写的简单的HTMLsanitizer。它不需要100%XSS安全。我正在我的网站上实现Markdown和WMDMarkdown编辑器(来自github的SO主分支)。问题是实时预览中显示的HTML没有被过滤，就像它在SO上一样。我正在寻找一个用JavaScr

我正在使用wmd一个项目的markdown编辑器，有一个问题:当我发布包含Markdown文本区域的表单时，它(如预期的那样)将html发布到服务器。但是，如果服务器端验证失败，我需要将用户送回以编辑他们的条目，是否可以只用Markdown而不是html重新填充文本区域？由于我已经设置好了，服务器只能访问发布数据(以html的形式)，所以我似乎想不出办法来做到这一点。有任何想法吗？最好是基于非JavaScript的解决方案。更新:我找到了一个名为markdownify的html到markdown转换器.我想这可能是向用户显示Markdown的最佳解决方案……欢迎任何更好的选择!更新2: