如何禁止所有使用markdown (PHP和JS)的HTML？

Question

我使用的是PHP markdown库：http://michelf.com/projects/php-markdown/和Javascript markdown库：http://attacklab.net/showdown/

我想禁止所有的HTML，两个版本的markdown似乎都不分青红皂白地允许。我的第一个尝试只是在提供给markdown之前对所有html实体进行转义。然而，这也避免了<hyperlink>和<email>语法，这是非常有用的。

我想转义所有的HTML (而不是移除)，但保留所有的markdown语法。

Answer 1

您有两个选择。

首先，您可以真正关心用户提交的HTML并对其执行一些操作。试试卡尔·亨德森( Cal Henderson，因Flickr出名)写的lib_filter，或者像HTMLPurifier这样的重量级网站。

其次，如果您真的只想中和所有的超文本标记语言，但又想保留特殊的语法，那么可以使用htmlspecialchars，然后使用正则表达式撤销您要查找的字符串的转换。这可能会更多一点毛发。;)

是的，这两个都是PHP实现，不是Javascript。当用户暂时停止键入时，对特殊用途的预览生成脚本的ajax调用应该足够快。或者让他们按下按钮。